EFS加密文件的解密
某用户笔记本电脑在C区安装Windows XP SP2系统,在D区和E区为NTFS文件系统,并存储大量的重要文档,为了安全考虑,把E盘中重要的一个文件夹进行了EFS加密,而没有对用户证书进行备份,后因系统感染病毒,运行缓慢,重新安装系统后,原来E区被加密的重要文件夹打不开,并提示"文件只读或被加密",加密的文件夹名是“绿色”显示的。
出现这种问题的用户很普遍,从微软官方网站上得知,如果重装系统之前没有备份用户证书是不能恢复的。经过我们对EFS加密的分析,出现这种情况并不是无药可救,只要能从原系统分区(C区)中提取出重要的公钥及私钥,数据就还是有希望的。
只要在C区的密钥文件没有被真正覆盖,我们可以通过一些数据恢复软件找到,如果能找到主密钥、私钥及公钥,在系统中构建原用户,使系统自动实现解密。我们需要进行下列操作:
修改注册表中下一个用户ID,新建一与原用户名称、密码相同的用户ID;
修改注册表中机器ID为从原C 中提取出来的机器ID;
修改用户配置文件,即还原原来的主密钥、私钥及公钥。
再次打开原来的加密文件,自动解密成功!
被勒索病毒加密的数据库恢复可以恢
文件加密后密码遗忘的恢复
揭开勒索病毒真面目:如何防范呢?