Desencriptar archivos con letras verdes EFS

Siendo este mi tercer aporte, saludo a toda la pandilla de Identi, teniendo el gusto de traer este humilde tutorial, totalmente hecho por mí, de cómo desencriptar elementos sin certificado de seguridad y con computadora formateada mediante el programa Advance EFS Data Recovery Professional Edition.

Preámbulo.

Les comento el porque me atreví a realizar este minimicrotutorial, la cosa estuvo así? siendo yo técnico en mantenimiento de equipo de cómputo con experiencia de más de 13 años, me sucedió que me pidieron reparar una laptop (HPDV6000) que tenía instalado el sistema operativo WinVistaHome x86 que no pasaba del logo de win, y que no se perdiera ningún dato por nada del mundo, procedí a intentar respaldar la información con herramientas de Hiren?s y microwinxp pero resultó que los archivos no eran visibles porqué el inicio de sesión estaba protegido por contraseña, la cual tenía pero obviamente no podía usar, ...OK no la corro larga, procedí a reparar el SO con el disco de instalación limpio de Vista y después de tres intentos de reparación, al final lo reparó mediante restauración de punto? pude entrar al escritorio y respaldar la información solicitada y drivers.

Después de formatear, instalar SO Win7 x64 Ultimate SP1, drivers y paquetería diversa y antivirus, procedí a recuperar el respaldo de información, pero previamente en otro equipo con AV actualizado hice la eliminación de posibles virus y me percaté de que varios archivos fueron imposibles de escanear por algún tipo de error? entre al respaldo y vi que varias carpetas en sus nombres estaban color verde claro, entré en ellas y los archivos internos también lo estaban



? no le presté ninguna atención y procedí a cargar en la laptop el respaldo, pero al intentar copiar esas carpetas me salía el siguiente aviso ?se requieren permisos de administradores para cambios en el archivo?



Me fue imposible copiar esa información tan valiosa para el cliente, por lo que me puse blanco de la impresión, fue cuando me propuse a encontrar una solución en la red para mi problema, descubrí que esos archivos fueron cifrados a petición del cliente, con lo cual se crea un certificado de seguridad para poder descifrarlos y utilizarlos, el certificado de seguridad se trata de un algoritmo matemático que a través de este el sistema puede entender los datos que se codificaron, si el sistema no posee este algoritmo no podrá acceder a los datos. EFS (Encrypting File System) crea un algoritmo o llave que es netamente necesaria para poder descifrar el contenido y si cifraste los datos con la sesión administrador por ejemplo y formateaste, no podrás tener la misma llave aun si creas nuevamente el certificado de seguridad con la sesión Administrador ya que a pesar de que se llaman igual su ID no es el mismo (Fuente: tienes problemas con carpetas cifradas solucion erd commander por [email protected], saludos y gracias).

Entonces? espero ya entiendan el problema, respalde archivos cifrados sin el certificado de seguridad que fue formateado y ahora no podía regresarlos al equipo ni mucho menos abrirlos? me oriné de la impresión? pero seguí buscando y encontré un alternativa que es la de la fuente que agregué anteriormente, que en lo personal no me sirvió, les cuento rápido en que consiste, es bootear desde el erd commander y encontrar los elementos cifrados y cambiarles los atributos, pero como no es problema de atributos sino de cifrado, pues no funca no??? Seguí buscando y llegué al post de DieyMar (http://www.tadinga/posts/info/11877409/Recuperar-Archivos-con-EFS-_en-verdecito_-de-Otra-maquina_.html) que en lo personal saludo y agradezco el tiempo que se tomó para realizar su tutorial, pero que también en lo personal no me funcó ya que él explicó el método del asistente que para mí fin nunca me asistió correctamente. Después de algunos minutos de explorar el programa y de varios fracasos? lo logré? casi lloro de la emoción!!!  Ya había logrado desencriptar los asquerosos archivos y podido copiarlos de vuelta a su origen? y pues bueno exactamente para eso es este tutorial, de cómo desencriptar elementos sin certificado de seguridad y con computadora formateada mediante el programa Advance EFS Data Recovery Professional Edition.

Requisitos.
-Tener a la mano el equipo de cómputo que encriptó los archivos.
-Instalar el programa en el mismo equipo.
-Conocer el nombre de usuario y contraseña de inicio de sesión anterior al formateo.
-Que el formateo haya sido reciente.
-Lo demás el software lo hace.

NOTA: Lamentablemente si no tienen cualquiera de estos requisitos será imposible el descifrado de los archivos.

Pasos.

1.Bajar el programa de aquí (link actualizado 04/06/12).

http://www.2shared.com/file/stSZOWLj/EFSRecov42BiAdlEr.html

2.Abrirlo y cerrar el asistente.
3.Seleccionar ?scan for keys?.



4.Seleccionar el/los disco(s) duro(s).
5.Activar la casilla ?scan by sectors?, porque así buscara en cada closters aun así haya sido formateado, que es lo que queremos no???.
6.Aceptar la advertencia.
7.Seleccionar ?start scan?.



8.Esperar? porque a mí me tardó como 45 minutos.



9.Terminando te va a mostrar todos los archivos relacionados a certificados de seguridad que recuperó, pero aun los muestra en color rojo (no-decryptable) ya que no hemos agregado una contraseña de usuario compatible con los certificados, que es por cierto es el paso 14.
10.Seleccionar una vez más ?scan for keys?.
11.Seleccionar el/los disco(s) duro(s).
12.Desactivar la casilla ?scan by sectors? porque ahora nada más queremos que nos encuentre SystemRegistries y SAM registries.
13.Seleccionar ?start scan?, tardará menos y te mostrará los nuevos registros, creo estos últimos cuatro pasos son innecesarios, pero yo así es como lo hice y me funcionó.
14.Agregar una contraseña de usuario mediante la función ?add user password?.



15.Escribir el nombre de usuario y contraseña del inicio de sesión del anterior SO ya formateado, respetando por supuesto mayúsculas y minúsculas así como símbolos. Click en add.



16.Al agregarla te actualizará la lista de claves y te habilitará mínimo una en verde (decryptable), esa es la señal de que podrás desencriptar tus archivos.
17.El siguiente paso consiste en buscar los archivos encriptados, o sea, los que no podemos utilizar, selecciona el icono con la función de ?scan for encrypted files?.



18.Seleccionar el/los disco(s) extraíble (s) y click en ?start scan?.
19.Al finalizar la búsqueda te mostrará todos los archivos cifrados encontrados y si te los pinta en verde? pues felicidades porque si los vas a poder recuperar, si están en rojo? lo siento pero ya se ha de haber sobrescrito el cluster que contenía la información de tu certificado de seguridad.
20.Si fue exitoso el proceso nada más resta desencriptar los archivos mediante su selección ?select all?  y posterior click en el icono de ?decrypt?.



21.Te pedirá elegir la ruta para colocar una copia de los archivos pero ya sin protección.
22.Y listo? lo lograste, salvaste y rescataste tu información.



Pues este es mi humilde aporte, espero les sea de mucha utilidad, y aunque no estén en una situación similar como la que me pasó, pues siempre es bueno conocer de las experiencias de los demás para que cuando nos pase, sepamos cómo solucionarlo. Saludos, y cualquier comentario lo atenderé ya que estaré revisando el post continuamente. 
Desencriptar archivos con letras verdes EFS
24 Puntos Score: 8/10
Visitas: 15648 Favoritos: 9
Ver los usuarios que votaron...
23 Comentarios Desencriptar archivos con letras verdes EFS
MUCHAS GRACIASSSSSSSSSS  
Muy buena info, muchas gracias por aportar conocimiento  
@GARUOS223 @Allterman Gracias por pasar y comentar  
+ 4, gracias por el conocimiento  
@Lord_Laiger No gracias a ti por pasar y por los puntines, saludos  
@biadler Muchas Gracias por tomarte el trabajo de que los demas no lo pasen. Saludos
@pizzano Mil gracias a ti por pasar y por el detalle de los puntines  
hola, estoy con ese problemon , tengo una consulta ,  en el paso de agregar user , si no tenia contrase?
Ya probaste dejando en blanco... porque no estoy seguro pero... para cifrar tuvo que haber pedido contrase?
estoy en el paso de agregar contrase?
Intenta con el asistente a ver que te dice...
el asistente me dices wizard ???
Asi es, el wizard, y cuentanos a ver que pas?
nah llega a la opcion de usr and password y kedo ahi igual asi q  no se ... estoy ahi , me desconecto avisame si falta algun detalle o algo y despues paso a le?
hola buenas, le pongo el usuario y pass anterior y aun asi me sale en rojo.. a alguien mas le paso?
Tengo el mismo problema!!!estoy en el proceso gracias!
Pero tengo una duda!!! Tengo los archivos encriptados ya respaldados en un disco duro externo! Cuando realizo los scan con el programa a que disco lo realizo???yo pues sin saber mucho lo estoy pasando a ambos discos!al de la pc que tenia los archivos y a mi disco esterno donde esta el respaldo!!! Estara bien asi?o solo era necesario a uno de los dos discos? A cual?
Gracias
Hola hola... @Scr0unT @Krosis , estan seguros que estan usando la misma PC de donde copiaron los archivos>???? Tiene que ser la misma... @ivancho123  Hay que scanear el disco duro y como dices nada se pierde si se escanea el externo que contiene los archivos cifrados... saludos y gracias por pasar...  
... EXCELENTE, HABIA DURADO MESES, BUSCANDO ALGUNA SOLUCION, ES EL MEJOR POST QUE HE ENCONTRADO, GRACIAS ...
hermano tengo un problema yo tenia encriptada unas fotografias familiares pero tuve que llevar la pc a un tecnico que me formatio varias veces la pc y bueno las deje para que despues me acomodara las fotos encriptada ya que ni se hacerlo ni me acuerdo de las claves porque las cambiaba frecuentemente e intentando hacerlo mediante tu post y es el mejor que he visto pero sigo sin poder acomodar las fotos te agradesco algun consejo o recomendacion gracias y espero tu ayuda que con el favor de dios sea pronto gracias
@hernanfnx OK hermano, espero te pueda ayudar... exactamente que mensaje te arroja al intentar abrir la fotograf?
Amigo, y si en anterior usuario no ten?
Para dejar un comentario Registrate! o.. eres ya usuario? Accede!