Bestanden versleuteld met geel slotje...

Ik kom dit tegen als ik er op zoek:
https://answers.microsoft...-ae78-820f771d1dbe?page=2

Daar lijken de eigendomsrechten van betreffende map(structuur) niet goed te staan, en het probleem op te lossen door het eigendom van de map weer goed te zetten.

In dat draadje hebben ze het na heel veel command-window discussie over rechtsklikken op de (in dit geval) desktop-map.

Go to file explorer and go to C:\Users\Rick then right click on the Desktop folder. Click "Change Ownership" change the owner to Rick and make sure to tick (that there is a checkmark icon inside) the box that pops up after you change the Owner to Rick but before you press Ok/Apply.

Heb je dat ook geprobeerd, dat bleek daar de oplossing te zijn.

Wellicht in jouw geval de bovenliggende mappen ook proberen?

In Windows 11:

- Klik in de verkenner met rechts op de map of schijf,
- Kies eigenschappen,
- Op het tabblad beveiliging, kies geavanceerd,
- In het scherm wat nu opent, zie je vrij bovenaan de eigenaar, en de mogelijkheid om die te wijzigen:


Even geen idee meer hoe het in Windows 10 ging, maar daar zou ik in dezelfde richting zoeken.

Het scherm waar jij in zit, zijn de instellingen voor bestandsdeling. Het lijkt er overigens wel op dat er inderdaad iets niet helemaal goed is met de eigendomsrechten, aangezien je Windows de eigenaar niet kent.

[Voor 13% gewijzigd door Wild Chocolate op 08-12-2022 00:47]

Heb je dat vinkje/vakje onderaan aangevinkt?

Je hebt waarschijnlijk ooit EFS ingeschakeld. Dan heb je het originele OS (EFS) en/of mb + cpu (bitlocker ivm TPM) nodig om ze te ontsleutelen / de key te exporteren.

edit: bitlocker vs EFS (van beiden bestaan ransomware versies mocht je het niet zelf gedaan hebben) Maar dan vind je meestal wel een bericht.

[Voor 42% gewijzigd door sh4d0wman op 08-12-2022 02:10]

AltTabKeys schreef op donderdag 8 december 2022 @ 02:12:
[...]
Ai, dan zit ik flink in de problemen. Oude moederbord is kapot…

Simpelweg dus 3tb aan Archief weg. Gelukkig stond het alle belangrijkste op Cloud, maar wel zuur.

Als je OS nog op een disk staat zou je er wellicht een virtuel machine van kunnen maken en booten. Dan de EFS key exporteren. Note: nooit zelf geprobeerd dus het is wat uitzoek werk

Anders data bewaren. Er is altijd een kans dat ergens in de toekomst de encryptie gekraakt kan worden. Maar geen garantie...

Ook nooit een backup gemaakt van de key?

Dan is inderdaad de volgende stap afhankelijk van hoe graag je de data terug wilt en hoeveel je wilt investeren: er zijn tools die (a een paar honderd $) zeggen ESF versleutelde bestanden te kunnen ontsleutelen. Of dat werkt: geen idee. Hoe lang het gaat duren weet ik ook niet (weken fulltime rekenen? Maanden? Langer? Geen idee). Blijf in ieder geval weg van de meer louche sites en bedrijven.

Of schijven in de kast leggen en zien of er over 5 of 10 jaar meer mogelijkheden zijn.

Ik heb sterke twijfels bij tools die claimen het te kunnen kraken zonder toegang tot het originele OS.

Het lijkt te leunen op Mimikatz om via een omweg het certificaat te reconstrueren. Maar daarvoor is wel van belang dat je bij diverse directories kan komen welke niet standaard in een backup zitten.

Linkje: https://tinyapps.org/docs...-without-cert-backup.html

Wees dus voorzichtig met geld uitgeven Lukt het wel dan horen we dat graag...

Maar...
Je hebt nog niet bevestigd dat je EFS hebt ingeschakeld op je oude systeem.
Ik ga er van uit dat je dat nog wel weet, dat je encryptie hebt ingeschakeld, en dat je je wachtwoord ook ergens hebt opgeslagen.

zetje01 schreef op donderdag 8 december 2022 @ 15:36:
Maar...
Je hebt nog niet bevestigd dat je EFS hebt ingeschakeld op je oude systeem.
Ik ga er van uit dat je dat nog wel weet, dat je encryptie hebt ingeschakeld, en dat je je wachtwoord ook ergens hebt opgeslagen.

Sterker nog, als je de EFS key-backup op de encrypted disk wilt opslaan, dan kan dat niet. Precies om deze casus te voorkomen.

AltTabKeys schreef op woensdag 7 december 2022 @ 22:14:

Wellicht niet de geijkte Windows oplossing, maar bij mij werkt dit snel.en efficiënt:

Installeer cygwin, samen met basic file utils zoals chmod en chown.

Dan right-click cygwin shell -> uitvoeren als admin



Je kan ook nog een chmod -r a+rwx doen op diezelfde bestanden.

Tip: test dit eerst op test dit die je even aanmaakt met wat bestanden erin.

Je huidige userid/groupid kan je met een reguliere cygwin shell zien:

Dat is niet echt nuttig als het encrypted is. i.p.v. chown zou dan ook gewoon take ownership moeten werken.

Mocht je de windows tegenhanger zoeken, dat is icacls: https://learn.microsoft.c...n/windows-commands/icacls

AltTabKeys schreef op donderdag 8 december 2022 @ 21:56:
[...]


Waar moet ik Chmod en Chown downloaden? Ik heb Crygwin geinstalleerd.

Je kan bij de setup.exe kiezen welke packages je installeert. Ik denk dat je het coreutils package nodig hebt.

De executables zijn in /use/bin te vinden.
Sommige executables zoals fdisk staan in /sbin

@AltTabKeys Heb je al eens gezocht naar *.pfx bestand(en) op je externe schijf? Dat zou je EFS certificaat bevatten, beschermd met een wachtwoord.

Heb nog even met EFS gespeeld dit weekend en er zitten wel een paar gotcha's in...

EFS Instellen:
Rechts-klikken op een bestand of folder en kiezen voor:
Properties -> General -> Advanced -> Encrypt Contents to secure data

Hierna volgen twee opties:
1. Encrypt the file and parent folder (default)
2. Encrypt the file only

Pas op 1:
de default optie is een gevaarlijke....
!! Alles !! in de parent folder is dan beschermd door EFS, niet alleen het bestand wat je hebt geselecteerd.
Dus selecteerde je b.v. een bestand in Downloads dan is met deze optie ALLES onder Downloads door EFS beschermd.

Pas op 2:
Kopieer je een EFS beschermd bestand naar een fileshare dan wordt de encryptie verwijderd.

Foutmelding:
Probeer je een EFS beschermd bestand te openen zonder de key dan volgt er een foutmelding welke nergens op encryptie hint:

You do not have permissions to open this file. See the owner of the file or an administrator to obtain permissions.

Hier komt de verwarring om dan maar via Linux te proberen de rechten aan te passen.

EFS Key Management:
Na het instellen van EFS verschijnt er in de taakbalk een pop-up mbt keymanagement.

Hier volgen 3 opties:
1. Back up now
2. Back up later
3. Never back up

Klik optie 1 en je kunt een *.pfx lokaal opslaan. Deze moet je beschermen met een wachtwoord.
Klik optie 2 en de melding komt zodra je opnieuw aanmeldt.
Klik optie 3 en de melding is compleet verdwenen.

Door het .pfx bestand te importeren onder een andere user kun je weer bij de EFS bestanden komen.

Pas op:
Het is mogelijk om de keyfile in een EFS (parent) folder op te laten slaan. Dan kun je er vervolgens met een ander account niet bij om het te importeren.

Conclusie:
Als je de standaard setting gebruikt en de key vervolgens niet op slaat of het wachtwoord vergeet dan heb je je eigen ransom/wiperware uitgerold.

sh4d0wman schreef op maandag 12 december 2022 @ 05:44:

Pas op 2:
Kopieer je een EFS beschermd bestand naar een fileshare dan wordt de encryptie verwijderd.

Weet je dit zeker? Heb je het getest met een fileshare op een NTFS-disk?

Het is heel lang geleden dat ik (tijdens een cursus) iets met EFS deed maar ik meen me te herinneren dat de EFS encryptie meegekopieerd wordt naar elke disk die met NTFS geformatteerd is omdat EFS een attribuut vereist wat alleen door NTFS wordt ondersteund.

downtime schreef op woensdag 14 december 2022 @ 11:40:
[...]

Weet je dit zeker? Heb je het getest met een fileshare op een NTFS-disk?

Het is heel lang geleden dat ik (tijdens een cursus) iets met EFS deed maar ik meen me te herinneren dat de EFS encryptie meegekopieerd wordt naar elke disk die met NTFS geformatteerd is omdat EFS een attribuut vereist wat alleen door NTFS wordt ondersteund.

Ik heb een Win10 Pro host en guest VM en virtualbox. Met virtualbox een drivemapping gemaakt. Dat zou dan toch gewoon NTFS moeten zijn. Zal er nog eens naar kijken. Je krijgt iig de melding dat bij verplaatsen van het EFS bestand het resultaat plaintext zal worden.

(ik simuleer thuisgebruik, dus geen DC/server omgeving, zal nog eens kijken wat een thumbdrive voor resultaat geeft)

[Voor 7% gewijzigd door sh4d0wman op 14-12-2022 12:49]