elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Informática
| |-+  Hardware
| | |-+  Imágenes y vídeos en mi USB están cifrados
0 Usuarios y 2 Visitantes están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Imágenes y vídeos en mi USB están cifrados  (Leído 4,506 veces)
imAlex04

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Imágenes y vídeos en mi USB están cifrados
« en: 4 Marzo 2024, 14:07 pm »

Buenas! Primero de todo, no sé si este post está bien puesto aquí, pero he estado mirando los apartados y me ha parecido el mejor ya que el problema lo tengo en un USB.


Hace unos 2-3 años descargué muchas fotos y vídeos de Google Fotos al PC y de ahí lo transferí todo a un USB distribuido en 6 carpetas diferentes.

El caso es que algo debo haber tocado al hacerlo, porque estas carpetas han sido cifradas (aparecen con un candado) y si accedo a ellas e intento abrir alguna foto o vídeo me dice: "Parece que sí". No tengo permiso para ver este archivo. Verifique los permisos y vuelva a intentarlo".

Y si voy a sus "Propiedades" y hago clic en "Avanzado", aparece marcada una casilla que no puedo desmarcar que dice "Cifrar contenido para proteger datos".

Y si hago clic en "Detalles" al lado, dice "Usuarios que pueden tener acceso a este archivo: Alex(Alex@Segismundo)" y ya no tengo acceso a ese usuario porque en esa PC hice algunas configuraciones de fábrica y entonces es imposible acceder a él desde el mismo usuario único que tiene acceso.

Hablé con Microsoft y básicamente me dijeron que tengo que buscar ayuda, que ellos no se ocupan de cosas externas a su sistema operativo.
 

Muchas gracias y espero vuestras respuestas y espero poder solucionarlo.


En línea

Danielㅤ


Conectado Conectado

Mensajes: 1.853


🔵🔵🔵🔵🔵🔵🔵


Ver Perfil
Re: Imágenes y vídeos en mi USB están cifrados
« Respuesta #1 en: 4 Marzo 2024, 14:44 pm »

Hola, lo que podrías hacer es crear ese mismo usuario en una máquina virtual, pasar los archivos cifrados a esa VM y probar a descifrarlos, si lo logras los pasas a tu PC pero ya descifrados, es lo que se me ocurre, aquí el tema es tener ese mismo usuario al momento de abrir o descifrar los archivos.


Saludos


En línea

Eleкtro
Ex-Staff
*
Desconectado Desconectado

Mensajes: 9.885



Ver Perfil
Re: Imágenes y vídeos en mi USB están cifrados
« Respuesta #2 en: 4 Marzo 2024, 16:04 pm »

Parece evidente que estamos hablando de archivos cifrados mediante EFS (Encrypting File System) de Windows. Yo en tu lugar y para evitar que esto se vuelva a repetir, deshabilitaría los servicios relacionados con EFS y adicionalmente los de BitLocker (cifrado de dispositivos enteros), y los caparía / eliminaría del sistema operativo, para siempre. Es lo que yo decidí hacer hace ya siglos.

La solución de "clonar" la cuenta de usuario en una VM es ingeniosa, pero no creo que sea suficiente con usar el mismo nombre de usuario, tampoco estoy seguro de ello, pero quiero pensar que para poder descifrar los archivos también debería ser necesario que la cuenta de usuario tenga el mismo identificador único (SID), y puede que otras cosas más. Se podría realizar una mejor "clonación" de la cuenta de usuario si tuvieras una copia de seguridad del archivo de colmena (HIVE) del registro de Windows del usuario en cuestión ("C:\Users\Alex\NTUSER.DAT").

En caso contrario, no creo que puedas recuperar esos archivos a menos que logres acceso a la cuenta de usuario desde la cual se cifraron.

He leído que si mueves o copias los archivos cifrados a un disco con formato FAT32 o exFAT, se pierde el cifrado. (¿Tu USB tiene formarto NTFS?). Pero imagino que esta operación habrá que realizarla desde la cuenta de usuario original desde donde se cifraron. Tampoco estoy totalmente seguro de ello.

Quizás otros usuarios te puedan brindar alguna posible solución poco convencional. No hagas nada por el momento y espera un poco a ver. Suerte.

Aténtamente,
Elektro.
« Última modificación: 4 Marzo 2024, 16:12 pm por Eleкtro » En línea



imAlex04

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: Imágenes y vídeos en mi USB están cifrados
« Respuesta #3 en: 5 Marzo 2024, 00:06 am »

Gracias a los dos.

Tengo un archivo llamado NTUSER.DAT en esa ubicación que indicas, que tendría que hacer con ella?


Respecto a mi USB que contiene los archivos cifrados... es FAT32



Elektro, por el momento te haré caso y esperaré más respuestas a ver si hay suerte.
« Última modificación: 5 Marzo 2024, 00:10 am por imAlex04 » En línea

Tachikomaia


Conectado Conectado

Mensajes: 1.452


Hackentifiko!


Ver Perfil
Re: Imágenes y vídeos en mi USB están cifrados
« Respuesta #4 en: 5 Marzo 2024, 00:50 am »

No sé del tema, doy unas ideas a quien sepa y que las descarte o apruebe:
- Poner los archivos en un rar, zip o similares. Alguna vez me ha parecido que algunos datos de los archivos se borran, como por ejemplo la fecha de creación, quizá se borre la configuración de cifrado.
- Grabar un dvd con los archivos, usando un formato que quite el cifrado.

Es curioso lo que cuentas, no es algo que Windows debería hacer por defecto o porque uno toque mal algo, nunca había escuchado de algo así.
En línea

Eleкtro
Ex-Staff
*
Desconectado Desconectado

Mensajes: 9.885



Ver Perfil
Re: Imágenes y vídeos en mi USB están cifrados
« Respuesta #5 en: 5 Marzo 2024, 05:19 am »

Tengo un archivo llamado NTUSER.DAT en esa ubicación que indicas, que tendría que hacer con ella?


¿Pero el archivo reside en el directorio de la antigua cuenta de usuario, ¿no?, de lo contrario no sirve.

De acuerdo, en ese caso entiendo que en tu PC quedan rastros, al menos del directorio del perfil de usuario de la cuenta "Alex".

Ese archivo "NTUSER.DAT" contiene toda la rama del registro HKEY_CURRENT_USER de esa cuenta de usuario, incluyendo el SID, así que podría ser de utilidad para posibles soluciones como la sugerencia de @Daniel sobre "clonar" esa cuenta de usuario, usando el mismo nombre exacto y el mismo SID, y a ver si con mucha suerte eso es suficiente para que puedas descifrar los archivos...



A continuación te detallo los pasos a seguir. Pero te advierto que todo esto es un planteamiento teoríco que he desarrollado, jamás lo he probado, así que puede acabar siendo de inutilidad.

1.

Monta el archivo de colmena del registro "NTUSER.DAT" de la antigua cuenta de usuario de "Alex" usando el programa Regedit integrado en Windows, aunque puede que te sea más fácil usando el programa de terceros Registry Explorer (https://ericzimmerman.github.io/#!index.md), y yo en este ejemplo es el programa que usaré.

Simplemente haz click en la opción del menú: "File -> Load Hive" y cargas el archivo "NTUSER.DAT".

Una vez que has montado la colmena, y para recuperar el SID de esa cuenta de usuario, ubica el valor "RecycleBin" de la clave HKEY_CURRENT_USER/Environment como en la siguiente imagen:



Simplemente apunta esa cadena de texto que empieza por la letra "S". En mi caso sería: "S-1-5-21-4028340171-1815735104-1074574231-500"

(A menos que hayas configurado de forma atípica las papeleras de reciclaje, lo de arriba te debería funcionar para obtener el SID.)



2.

A continuación, carga el archivo de colmena "SECURITY" ubicado en: C:\Windows\System32\config, encuentra la clave que hace referecia al SID que apuntaste anteriormente, y en la subclave "sid" copia el contenido del valor que te muestro en la siguiente imagen:



Para ello simplemente haz click derecho sobre el valor, selecciona la opción del menú: "Copy -> Value data" y el contenido del valor se enviará al porpapales de Windows (ya sabes, utiliza CONTROL+V para pegar lo copiado).

En mi caso obtengo una cadena de texto como esta:
Código:
01-05-00-00-00-00-00-05-15-00-00-00-CB-97-1B-F0-40-EB-39-6C-97-B3-0C-40-F4-01-00-00

Pues bien, ahora reemplaza los guiones por comas, y quedará algo como esto:
Código:
01,05,00,00,00,00,00,05,15,00,00,00,CB,97,1B,F0,40,EB,39,6C,97,B3,0C,40,F4,01,00,00

Apúntate en algún sitio esa cadena de texto separada por comas.

Notas:
Obtener ese valor SID en Hexadecimal es esencial, por que no es simplemente una conversión a Hexadecimal, sino que además sigue un orden basado en la estructura que forman las partes de un valor SID.

En teoría, teniendo unicamente el SID del paso anterior, me refiero, el que empieza por la letra "S", se puede desglosar su estructura para obtener este formato de SID en Hexadecimal, pero yo no tengo muy claro como y cual es el orden de ese formato para desglosar las partes del SID correctamente.

Y el problema es que no estoy muy seguro de si tras los "ajustes de fábrica" realizados en tu PC quedarán rastros de estas claves necesarias para obtener el SID en formato Hexadecimal. Esperemos que si.



3.

Para proseguir con el intento de clonación de cuenta de usuario, más adelante necesitaremos obtener permisos de escritura para una clave muy sensible del registro de Windows...

Descárgate el programa de terceros por línea de comandos "SetACL" (no confundir con SetACL Studio): https://helgeklein.com/download/

Y una vez descargado el programa y, DESDE UNA CUENTA DE USUARIO CON PRIVILEGIOS DE ADMINISTRADOR, abres un prompt de la CMD en el directorio donde se encuentre el archivo "SetACL.exe" y escribes el siguiente comando en la consola:

Código:
SetACL.exe -on "HKEY_LOCAL_MACHINE\SECURITY\SAM\Domains\Account\Users" -ot "reg" -ace "n:%UserName%;p:full" -rec "Yes" -actn "ace"

(Si el comando te diese error entonces repite el procedimiento pero esta vez desde la cuenta integrada de Administrador de Windows. Para activar la cuenta integrada de Administrador escribe el siguiente comando en la CMD: net user administrator /active:yes , posteriormente inicias sesión en esa cuenta de Administrador y repites el comando de SetACL para modificar los permisos de esa clave de registro.)



4.

Lo último que queda por hacer, a ver como lo simplifico para que no te suponga mucha dificultad....

Observa este código (es un script del Registro de Windows):

Código
  1. Windows Registry Editor Version 5.00
  2.  
  3. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\{SID}]
  4. "ProfileImagePath"=hex(2):{DIRECTORIO DE LA CUENTA DE USUARIO}
  5. "Flags"=dword:00000000
  6. "State"=dword:00000004
  7. "Sid"=hex:{SID HEXADECIMAL}
  8. "FullProfile"=dword:00000001
  9.  
  10. [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\ProfileList\{SID}]
  11. "ProfileImagePath"=hex(2):{DIRECTORIO DE LA CUENTA DE USUARIO}
  12. "Flags"=dword:00000000
  13. "State"=dword:00000004
  14. "Sid"=hex:{SID HEXADECIMAL}
  15. "FullProfile"=dword:00000001
  16.  
  17. [HKEY_LOCAL_MACHINE\SECURITY\SAM\Domains\Account\Users\Names\{NOMBRE DE USUARIO}]
  18. @=hex(9eb):
  19.  
  20. [HKEY_LOCAL_MACHINE\SECURITY\SAM\Domains\Account\Users\000009EB]
  21. "F"=hex:03,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  22.  00,cd,fb,4c,b5,a8,6e,da,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  23.  eb,03,00,00,01,02,00,00,14,02,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,\
  24.  00,00,00,00,00,00,00
  25. "V"=hex:00,00,00,00,f4,00,00,00,03,00,01,00,f4,00,00,00,08,00,00,00,00,00,00,\
  26.  00,fc,00,00,00,08,00,00,00,00,00,00,00,04,01,00,00,00,00,00,00,00,00,00,00,\
  27.  04,01,00,00,00,00,00,00,00,00,00,00,04,01,00,00,00,00,00,00,00,00,00,00,04,\
  28.  01,00,00,00,00,00,00,00,00,00,00,04,01,00,00,00,00,00,00,00,00,00,00,04,01,\
  29.  00,00,00,00,00,00,00,00,00,00,04,01,00,00,00,00,00,00,00,00,00,00,04,01,00,\
  30.  00,00,00,00,00,00,00,00,00,04,01,00,00,15,00,00,00,a8,00,00,00,1c,01,00,00,\
  31.  08,00,00,00,01,00,00,00,24,01,00,00,18,00,00,00,00,00,00,00,3c,01,00,00,18,\
  32.  00,00,00,00,00,00,00,54,01,00,00,18,00,00,00,00,00,00,00,6c,01,00,00,18,00,\
  33.  00,00,00,00,00,00,01,00,14,80,d4,00,00,00,e4,00,00,00,14,00,00,00,44,00,00,\
  34.  00,02,00,30,00,02,00,00,00,02,c0,14,00,44,00,05,01,01,01,00,00,00,00,00,01,\
  35.  00,00,00,00,02,c0,14,00,ff,07,0f,00,01,01,00,00,00,00,00,05,07,00,00,00,02,\
  36.  00,90,00,04,00,00,00,00,00,24,00,44,00,02,00,01,05,00,00,00,00,00,05,15,00,\
  37.  00,00,cb,97,1b,f0,40,eb,39,6c,97,b3,0c,40,eb,03,00,00,00,00,38,00,1b,03,02,\
  38.  00,01,0a,00,00,00,00,00,0f,03,00,00,00,00,04,00,00,de,a2,28,67,21,3e,d2,af,\
  39.  19,ad,5d,79,b0,c1,07,29,27,56,fc,20,d8,ad,66,f6,10,f2,68,fa,df,2a,f8,0f,00,\
  40.  00,18,00,ff,07,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,\
  41.  14,00,5b,03,02,00,01,01,00,00,00,00,00,01,00,00,00,00,01,02,00,00,00,00,00,\
  42.  05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,\
  43.  41,00,6c,00,65,00,78,00,41,00,6c,00,65,00,78,00,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
  44.  ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ca,a7,80,01,02,00,00,07,00,00,00,02,00,\
  45.  02,00,00,00,00,00,f3,f1,77,17,ad,ca,a7,80,b1,5a,7d,a0,d4,a9,55,6e,02,00,02,\
  46.  00,00,00,00,00,2d,f6,ce,86,e6,76,c7,c4,6a,61,19,a9,ad,4a,1b,1a,02,00,02,00,\
  47.  00,00,00,00,52,8d,4d,94,18,cf,0d,6a,53,db,8f,8c,3c,81,23,95,02,00,02,00,00,\
  48.  00,00,00,17,79,7f,58,6e,de,ec,d8,70,2d,1b,b5,2f,f4,36,54
  49. "UserTile"=-
  50.  

Donde pone "{NOMBRE DE USUARIO}" debes colocar el nombre de la cuenta antigua cuenta de usuario de "Alex" (sin lo del paréntesis).

Donde pone "{SID}" debes colocar el SID (el que empieza por la letra "S") de esa cuenta de usuario.

Donde pone {DIRECTORIO DE LA CUENTA DE USUARIO} debe ir la ruta al directorio del perfil del usuario de "Alex" (por ejemplo: "C:\Users\Alex\")

Y donde pone {SID HEXADECIMAL} debe ir el SID en hexadecimal separado por comas que apuntaste en el paso anterior.

El valor de "{NOMBRE DE USUARIO}" y "{SID}" los puedes colocar directamente modificando ese código, pero los otros dos valores requieren una edición con un formato diferente.

Por mostrarte un ejemplo real, parte del código se vería así:

Código
  1. Windows Registry Editor Version 5.00
  2.  
  3. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-4028340171-1815735104-1074574231-1003]
  4. "ProfileImagePath"=hex(2):43,00,3a,00,5c,00,55,00,73,00,65,00,72,00,73,00,5c,\
  5.  00,41,00,6c,00,65,00,78,00,00,00
  6. "Flags"=dword:00000000
  7. "State"=dword:00000004
  8. "Sid"=hex:01,05,00,00,00,00,00,05,15,00,00,00,cb,97,1b,f0,40,eb,39,6c,97,b3,0c,\
  9.  40,eb,03,00,00
  10. "FullProfile"=dword:00000001
  11.  
  12. [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-4028340171-1815735104-1074574231-1003]
  13. "ProfileImagePath"=hex(2):43,00,3a,00,5c,00,55,00,73,00,65,00,72,00,73,00,5c,\
  14.  00,41,00,6c,00,65,00,78,00,00,00
  15. "Flags"=dword:00000000
  16. "State"=dword:00000004
  17. "Sid"=hex:01,05,00,00,00,00,00,05,15,00,00,00,cb,97,1b,f0,40,eb,39,6c,97,b3,0c,\
  18.  40,eb,03,00,00
  19. "FullProfile"=dword:00000001

Creo que lo mejor es que cuando llegues a este punto, simplemente dime cual es el SID (el que empieza por la letra "S") y el SID separado por comas, y yo te modifico los valores del registro de forma adecuada para que finalmente ejecutes el script y a ver lo que acaba sucediendo... :xD

Pero me gustaría que comprobases si en las claves de registro HKEY_LOCAL_MACHINE\SECURITY\SAM\Domains\Account\Users y también en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList quedasen rastros de la antigua cuenta de usuario de "Alex", más que nada para poder hacer las cosas intentando incrementar la probabilidad de éxito. Si quedasen rastros, exporta esas claves del registro y comparte el contenido del script del registro como yo he hecho.



Todos los pasos que mencioné anteriormente deberías probarlos en un "entorno seguro" como una máquina virtual (usando el programa de terceros VMWare Workstation Player, por ejemplo), aunque sinceramente creo que no es realmente necesario y lo único que podría pasar es que la solución no funcione. Pero bueno, no me hago responsable de un posible malfuncionamiento del sistema tras haber probado esta metodología teórica.

En caso de que esto lo vayas a probar en una máquina virtual, puedes crea una nueva cuenta de usuario con nombre "Alex", o como se llamase tu antigua cuenta de usuario desde donde se cifraron los archivos, y le otorgas permisos de Administrador.

Para administrar (crear, editar, borrar) cuentas de usuario de forma sencillita te sugiero utilizar el programa de terceros Quick User Manager (https://www.carifred.com/quick_user_manager/).

Si la creaste con cuenta de correo de Microsoft, hazlo con la misma cuenta de correo y mismo nombre, todo igual.

Aténtamente,
Elektro.
« Última modificación: 5 Marzo 2024, 12:49 pm por Eleкtro » En línea



Serapis
Colaborador
***
Desconectado Desconectado

Mensajes: 3.391


Ver Perfil
Re: Imágenes y vídeos en mi USB están cifrados
« Respuesta #6 en: 5 Marzo 2024, 06:53 am »

Cita de: Elektro
Monta el archivo de colmena del registro "NTUSER.DAT" de la antigua cuenta de usuario de "Alex" usando el programa Regedit integrado en Windows, aunque puede que te sea más fácil usando el programa de terceros Registry Explorer (https://ericzimmerman.github.io/#!index.md), y yo en este ejemplo es el programa que usaré.

Simplemente haz click en la opción del menú: "File -> Load Hive" y cargas el archivo "NTUSER.DAT".
Ojo... cuando se monta una colmena (load hive), al final de operar lo que se pretenda, no hay que olvidar desmontar la colmena (unload hive)... si no se seguirá en esa ruta alternativa de registro y se podría tener 'curiosas' y tal vez desagradables sorpresas (especialmente si quien lo usa desconoce/olvida el motivo).

Si usas el propio registro en vez de un programa de terceros, para poder montar la colmena se debe seleccionar la rama: "HKEY_LOCAL_MACHINE", luego en el menú File pulsar en "load hive" y localizar el archivo de colmena a cargar.

Yo lo he utilizado cuando una unidad se ha corrompido y es imposible restaurarla, pero la unidad es completamente accesible, y no ha quedado más remedio que reinstalar en otra partición o disco... para rescatar datos y configuraciones de dicha cuenta, aunque nunca se me ha dado el presente caso de una unidad cifrada (supongo que inadvertidamente).
En línea

imAlex04

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: Imágenes y vídeos en mi USB están cifrados
« Respuesta #7 en: 5 Marzo 2024, 11:52 am »

¿Pero el archivo reside en el directorio de la antigua cuenta de usuario, ¿no?, de lo contrario no sirve.

Ah, perdón, ese archivo está en la cuenta mía actual. No tengo ningún directorio de la cuenta antigua, en "C:\Users" solo tengo 3 directorios.


El de mi cuenta actual (que contiene el archivito ese, pero entiendo entonces que no sirve), uno llamado "Acceso Público" y uno oculto llamado "Default" que contiene también el archivito llamado "NTUSER.DAT".

Ya me dices algo sobre si me sirve entonces de algo hacer todo eso que me has puesto, o al no tener el directorio de la cuenta antigua sería en vano. Gracias!
En línea

Eleкtro
Ex-Staff
*
Desconectado Desconectado

Mensajes: 9.885



Ver Perfil
Re: Imágenes y vídeos en mi USB están cifrados
« Respuesta #8 en: 5 Marzo 2024, 12:49 pm »

Ya me dices algo (...) o al no tener el directorio de la cuenta antigua sería en vano.

Para poder llevar a cabo la posible solución que te indiqué, es necesario el archivo "NTUSER.DAT" que estaría ubicado en: "C:\Users\NOMBRE DE TU ANTIGUA CUENTA\NTUSER.DAT", sin eso, no sirve; si el directorio se eliminó al restablecer el sistema a la configuración de fábrica, entonces ya no nos sirve.

Qué lástima. Aunque, de todas formas, quizás el intento no hubiese valido mucho la pena. Para determinarlo con algo de confianza y exactitud habría que conocer exactamente que información maneja de forma interna el servicio de cifrado EFS para validar una cuenta de usuario y permitir el descifrado desde esa cuenta, y eso es algo que desconozco. No creo que sea información pública.



Bueno, si todavía sigues queriendo probar, se me ocurre una sugerencia que podrías intentar...

Esta sugerencia tiene el fin de intentar recuperar el archivo "NTUSER.DAT" que se borró en el procedimiento de ajustes de fábrica, y también el archivo "SECURITY" ubicado en "C:\Windows\System32\config" (aunque si puedes recuperar todo lo demás que hubiese en esta carpeta (las demás colmenas), mejor que mejor).

Para ello puedes utilizar un programa de recuperación de datos, como por ejemplo Recuva: https://www.ccleaner.com/es-es/recuva

Si nunca has usado este tipo de programas creo que es preferible que visualices algún tutorial en Youtube antes que leer un par de explicaciones cortas escritas por mi parte.

Nota: Para minimizar el riesgo de que algunas partes del archivo hayan sido sobreescritos por nuevos datos (y por ende, que no se puedan recuperar en su totalidad), sería conveniente que no hagas mucho uso del disco más allá del necesario, es decir, intentar no realizar demasiadas operaciones de escritura (intentar no descargar nada en ese disco, no crear archivos de tamaño muy pesado, etc). Solo hasta que hayas terminado de usar el programa de recuperación de datos. También es conveniente, en caso de que logres encontrar los archivos solicitados y también para minimizar el riesgo de sobreescritura, que, desde el programa de recuperación de datos, los archivos los recuperes enviándolos / guardándolos / reconstruyéndolos a otra unidad de disco, no al mismo disco en el que fueron eliminados.

Suerte.
« Última modificación: 5 Marzo 2024, 12:55 pm por Eleкtro » En línea



imAlex04

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: Imágenes y vídeos en mi USB están cifrados
« Respuesta #9 en: 5 Marzo 2024, 20:16 pm »

Bueno, si todavía sigues queriendo probar, se me ocurre una sugerencia que podrías intentar...

Esta sugerencia tiene el fin de intentar recuperar el archivo "NTUSER.DAT" que se borró en el procedimiento de ajustes de fábrica, y también el archivo "SECURITY" ubicado en "C:\Windows\System32\config" (aunque si puedes recuperar todo lo demás que hubiese en esta carpeta (las demás colmenas), mejor que mejor).

Para ello puedes utilizar un programa de recuperación de datos, como por ejemplo Recuva: https://www.ccleaner.com/es-es/recuva

He hecho un escaneo con el Recuva y lo único así parecido al NTUSER.DAT es esto:

Pero no encuentro ningún directorio que tenga el nombre de usuario antiguo.



Ah, una cosa que se me olvidó comentar antes, hice un intento de recuperación de estos archivos cifrados del USB con el programa "Wondershare Recoverit" y me pone que ha encontrado todos pero de una forma muy curiosa, por ejemplo un video llamado "VID_001_12022018" aparece dos veces en este programa, una vez con extensión .mp4 (VID_001_12022018.mp4) y con un tamaño del archivo de 4.00KB (estos que tienen la extensión .mp4 o .jpg todos ocupan curiosa y exactamente 4.00KB) y la otra con extensión .mp4.PFILE (VID_001_12022018.mp4.PFILE) y tiene el tamaño que tiene el archivo original 100MB, 62MB o las que sea según cada video/imagen.
El caso es que he intentado abrir los dos ficheros... y el de 4.00KB obviamente no muestra nada y el que si que tiene el tamaño original del video no podía abrirlo por la extensión .PFILE esa. Entonces me informé y para abrir archivos con esa extensión necesitaba un programa de Microsoft llamado "Azure Information Protection Viewer", me lo instalé y tal y a la hora de abrir el fichero con el programa este me pone: "Error. Este tipo de archivo no se admite".
« Última modificación: 5 Marzo 2024, 21:02 pm por imAlex04 » En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines