Tengo un archivo llamado NTUSER.DAT en esa ubicación que indicas, que tendría que hacer con ella?
¿Pero el archivo reside en el directorio de la antigua cuenta de usuario, ¿no?, de lo contrario no sirve.
De acuerdo, en ese caso entiendo que en tu PC quedan rastros, al menos del directorio del perfil de usuario de la cuenta "Alex".
Ese archivo "NTUSER.DAT" contiene toda la rama del registro
HKEY_CURRENT_USER de esa cuenta de usuario, incluyendo el SID, así que podría ser de utilidad para posibles soluciones como la sugerencia de @
Daniel sobre "clonar" esa cuenta de usuario, usando el mismo nombre exacto y el mismo SID, y a ver si con mucha suerte eso es suficiente para que puedas descifrar los archivos...
A continuación te detallo los pasos a seguir. Pero te advierto que todo esto es un planteamiento teoríco que he desarrollado, jamás lo he probado, así que puede acabar siendo de inutilidad.
1. Monta el archivo de colmena del registro "NTUSER.DAT" de la antigua cuenta de usuario de "Alex" usando el programa
Regedit integrado en Windows, aunque puede que te sea más fácil usando el programa de terceros
Registry Explorer (
https://ericzimmerman.github.io/#!index.md), y yo en este ejemplo es el programa que usaré.
Simplemente haz click en la opción del menú: "File -> Load Hive" y cargas el archivo "NTUSER.DAT".
Una vez que has montado la colmena, y para recuperar el SID de esa cuenta de usuario, ubica el valor "RecycleBin" de la clave
HKEY_CURRENT_USER/Environment como en la siguiente imagen:
Simplemente apunta esa cadena de texto que empieza por la letra "S". En mi caso sería: "S-1-5-21-4028340171-1815735104-1074574231-500"
(A menos que hayas configurado de forma atípica las papeleras de reciclaje, lo de arriba te debería funcionar para obtener el SID.)
2.A continuación, carga el archivo de colmena "SECURITY" ubicado en:
C:\Windows\System32\config, encuentra la clave que hace referecia al SID que apuntaste anteriormente, y en la subclave "sid" copia el contenido del valor que te muestro en la siguiente imagen:
Para ello simplemente haz click derecho sobre el valor, selecciona la opción del menú: "Copy -> Value data" y el contenido del valor se enviará al porpapales de Windows (ya sabes, utiliza CONTROL+V para pegar lo copiado).
En mi caso obtengo una cadena de texto como esta:
01-05-00-00-00-00-00-05-15-00-00-00-CB-97-1B-F0-40-EB-39-6C-97-B3-0C-40-F4-01-00-00
Pues bien, ahora reemplaza los guiones por comas, y quedará algo como esto:
01,05,00,00,00,00,00,05,15,00,00,00,CB,97,1B,F0,40,EB,39,6C,97,B3,0C,40,F4,01,00,00
Apúntate en algún sitio esa cadena de texto separada por comas.
Notas:
Obtener ese valor SID en Hexadecimal es esencial, por que no es simplemente una conversión a Hexadecimal, sino que además sigue un orden basado en la estructura que forman las partes de un valor SID.
En teoría, teniendo unicamente el SID del paso anterior, me refiero, el que empieza por la letra "S", se puede desglosar su estructura para obtener este formato de SID en Hexadecimal, pero yo no tengo muy claro como y cual es el orden de ese formato para desglosar las partes del SID correctamente.
Y el problema es que no estoy muy seguro de si tras los "ajustes de fábrica" realizados en tu PC quedarán rastros de estas claves necesarias para obtener el SID en formato Hexadecimal. Esperemos que si.
3. Para proseguir con el intento de clonación de cuenta de usuario, más adelante necesitaremos obtener permisos de escritura para una clave muy sensible del registro de Windows...
Descárgate el programa de terceros por línea de comandos "SetACL" (no confundir con SetACL Studio):
https://helgeklein.com/download/Y una vez descargado el programa y, DESDE UNA CUENTA DE USUARIO CON PRIVILEGIOS DE ADMINISTRADOR, abres un
prompt de la CMD en el directorio donde se encuentre el archivo "SetACL.exe" y escribes el siguiente comando en la consola:
SetACL.exe -on "HKEY_LOCAL_MACHINE\SECURITY\SAM\Domains\Account\Users" -ot "reg" -ace "n:%UserName%;p:full" -rec "Yes" -actn "ace"
(
Si el comando te diese error entonces repite el procedimiento pero esta vez desde la cuenta integrada de Administrador de Windows. Para activar la cuenta integrada de Administrador escribe el siguiente comando en la CMD: net user administrator /active:yes , posteriormente inicias sesión en esa cuenta de Administrador y repites el comando de SetACL para modificar los permisos de esa clave de registro.)
4.Lo último que queda por hacer, a ver como lo simplifico para que no te suponga mucha dificultad....
Observa este código (es un script del Registro de Windows):
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\{SID}]
"ProfileImagePath"=hex(2):{DIRECTORIO DE LA CUENTA DE USUARIO}
"Flags"=dword:00000000
"State"=dword:00000004
"Sid"=hex:{SID HEXADECIMAL}
"FullProfile"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\ProfileList\{SID}]
"ProfileImagePath"=hex(2):{DIRECTORIO DE LA CUENTA DE USUARIO}
"Flags"=dword:00000000
"State"=dword:00000004
"Sid"=hex:{SID HEXADECIMAL}
"FullProfile"=dword:00000001
[HKEY_LOCAL_MACHINE\SECURITY\SAM\Domains\Account\Users\Names\{NOMBRE DE USUARIO}]
@=hex(9eb):
[HKEY_LOCAL_MACHINE\SECURITY\SAM\Domains\Account\Users\000009EB]
"F"=hex:03,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,cd,fb,4c,b5,a8,6e,da,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
eb,03,00,00,01,02,00,00,14,02,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,\
00,00,00,00,00,00,00
"V"=hex:00,00,00,00,f4,00,00,00,03,00,01,00,f4,00,00,00,08,00,00,00,00,00,00,\
00,fc,00,00,00,08,00,00,00,00,00,00,00,04,01,00,00,00,00,00,00,00,00,00,00,\
04,01,00,00,00,00,00,00,00,00,00,00,04,01,00,00,00,00,00,00,00,00,00,00,04,\
01,00,00,00,00,00,00,00,00,00,00,04,01,00,00,00,00,00,00,00,00,00,00,04,01,\
00,00,00,00,00,00,00,00,00,00,04,01,00,00,00,00,00,00,00,00,00,00,04,01,00,\
00,00,00,00,00,00,00,00,00,04,01,00,00,15,00,00,00,a8,00,00,00,1c,01,00,00,\
08,00,00,00,01,00,00,00,24,01,00,00,18,00,00,00,00,00,00,00,3c,01,00,00,18,\
00,00,00,00,00,00,00,54,01,00,00,18,00,00,00,00,00,00,00,6c,01,00,00,18,00,\
00,00,00,00,00,00,01,00,14,80,d4,00,00,00,e4,00,00,00,14,00,00,00,44,00,00,\
00,02,00,30,00,02,00,00,00,02,c0,14,00,44,00,05,01,01,01,00,00,00,00,00,01,\
00,00,00,00,02,c0,14,00,ff,07,0f,00,01,01,00,00,00,00,00,05,07,00,00,00,02,\
00,90,00,04,00,00,00,00,00,24,00,44,00,02,00,01,05,00,00,00,00,00,05,15,00,\
00,00,cb,97,1b,f0,40,eb,39,6c,97,b3,0c,40,eb,03,00,00,00,00,38,00,1b,03,02,\
00,01,0a,00,00,00,00,00,0f,03,00,00,00,00,04,00,00,de,a2,28,67,21,3e,d2,af,\
19,ad,5d,79,b0,c1,07,29,27,56,fc,20,d8,ad,66,f6,10,f2,68,fa,df,2a,f8,0f,00,\
00,18,00,ff,07,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,\
14,00,5b,03,02,00,01,01,00,00,00,00,00,01,00,00,00,00,01,02,00,00,00,00,00,\
05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,\
41,00,6c,00,65,00,78,00,41,00,6c,00,65,00,78,00,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ca,a7,80,01,02,00,00,07,00,00,00,02,00,\
02,00,00,00,00,00,f3,f1,77,17,ad,ca,a7,80,b1,5a,7d,a0,d4,a9,55,6e,02,00,02,\
00,00,00,00,00,2d,f6,ce,86,e6,76,c7,c4,6a,61,19,a9,ad,4a,1b,1a,02,00,02,00,\
00,00,00,00,52,8d,4d,94,18,cf,0d,6a,53,db,8f,8c,3c,81,23,95,02,00,02,00,00,\
00,00,00,17,79,7f,58,6e,de,ec,d8,70,2d,1b,b5,2f,f4,36,54
"UserTile"=-
Donde pone "{NOMBRE DE USUARIO}" debes colocar el nombre de la cuenta antigua cuenta de usuario de "Alex" (sin lo del paréntesis).
Donde pone "{SID}" debes colocar el SID (el que empieza por la letra "S") de esa cuenta de usuario.
Donde pone {DIRECTORIO DE LA CUENTA DE USUARIO} debe ir la ruta al directorio del perfil del usuario de "Alex" (por ejemplo: "C:\Users\Alex\")
Y donde pone {SID HEXADECIMAL} debe ir el SID en hexadecimal separado por comas que apuntaste en el paso anterior.
El valor de "{NOMBRE DE USUARIO}" y "{SID}" los puedes colocar directamente modificando ese código, pero los otros dos valores requieren una edición con un formato diferente.
Por mostrarte un ejemplo real, parte del código se vería así:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-4028340171-1815735104-1074574231-1003]
"ProfileImagePath"=hex(2):43,00,3a,00,5c,00,55,00,73,00,65,00,72,00,73,00,5c,\
00,41,00,6c,00,65,00,78,00,00,00
"Flags"=dword:00000000
"State"=dword:00000004
"Sid"=hex:01,05,00,00,00,00,00,05,15,00,00,00,cb,97,1b,f0,40,eb,39,6c,97,b3,0c,\
40,eb,03,00,00
"FullProfile"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-4028340171-1815735104-1074574231-1003]
"ProfileImagePath"=hex(2):43,00,3a,00,5c,00,55,00,73,00,65,00,72,00,73,00,5c,\
00,41,00,6c,00,65,00,78,00,00,00
"Flags"=dword:00000000
"State"=dword:00000004
"Sid"=hex:01,05,00,00,00,00,00,05,15,00,00,00,cb,97,1b,f0,40,eb,39,6c,97,b3,0c,\
40,eb,03,00,00
"FullProfile"=dword:00000001
Creo que lo mejor es que cuando llegues a este punto, simplemente dime cual es el SID (el que empieza por la letra "S") y el SID separado por comas, y yo te modifico los valores del registro de forma adecuada para que finalmente ejecutes el script y a ver lo que acaba sucediendo...
Pero me gustaría que comprobases si en las claves de registro
HKEY_LOCAL_MACHINE\SECURITY\SAM\Domains\Account\Users y también en
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList quedasen rastros de la antigua cuenta de usuario de "Alex", más que nada para poder hacer las cosas intentando incrementar la probabilidad de éxito. Si quedasen rastros, exporta esas claves del registro y comparte el contenido del script del registro como yo he hecho.
Todos los pasos que mencioné anteriormente deberías probarlos en un "entorno seguro" como una máquina virtual (usando el programa de terceros
VMWare Workstation Player, por ejemplo), aunque sinceramente creo que no es realmente necesario y lo único que podría pasar es que la solución no funcione. Pero bueno,
no me hago responsable de un posible malfuncionamiento del sistema tras haber probado esta metodología teórica.
En caso de que esto lo vayas a probar en una máquina virtual, puedes crea una nueva cuenta de usuario con nombre "Alex", o como se llamase tu antigua cuenta de usuario desde donde se cifraron los archivos, y le otorgas permisos de Administrador.
Para administrar (crear, editar, borrar) cuentas de usuario de forma sencillita te sugiero utilizar el programa de terceros Quick User Manager (
https://www.carifred.com/quick_user_manager/). Si la creaste con cuenta de correo de Microsoft, hazlo con la misma cuenta de correo y mismo nombre, todo igual.
Aténtamente,
Elektro.
Autor
En línea
