Bestanden versleuteld met geel slotje... - Windows clients

Vraag

woensdag 7 december 2022 22:14

Acties:

+1 Henk 'm!

press Ctrl + Z please

Topicstarter

Beste leden,

Ik heb van de week een nieuw moederbord en processor geïnstalleerd.
Echter zie ik nu pas dat zo goed als alle bestanden op mijn externe harde schijf zijn vergrendeld met een geel slotje.

Ik kan de bestanden niet bewerken of lezen.
Als ik met de rechtermuisknop op het bestand klik, dan klik op "Eigendom van bestand" klik en dan "Persoonlijk", krijg ik foutcode 0x80071771.

Hier heb ik op gegoogled, maar de zoekresultaten hielpen niet.

Dit heb ik geprobeerd:
- Via eigenschappen > Beveiliging > Bewerken > een user bijgemaakt genaamd "Iedereen", met volledige toegang. Maar dit helpt niet.
- Via eigenschappen > Beveiliging > Algemeen > Geavanceerd > "Inhoud versleutelen om gegevens te beveiligen' uitgeschakeld. Ook dit helpt niet. Dan krijg ik foutmelding "Er is een fout opgetreden bij het toepassen van kenmerken op dit bestand. Het opgegeven bestand kan niet worden ontsleuteld"
- Via BitLocker de bestanden eerst vergrendeld, en toen weer ontgrendeld. Ook dit hielp niet.
Via CMD de commando "cipher /d ""F"", ook dit hielp niet.

Merkwaardig genoeg zijn niet alle bestanden vergrendeld. Dit lijkt erg willekeurig.

De bestanden staan op een WD Elements 8TB externe hardeschrijf.

What a terrible day to have eyes!

Alle reacties

woensdag 7 december 2022 23:23

Acties:

+1 Henk 'm!

Wild Chocolate

Ik kom dit tegen als ik er op zoek:
https://answers.microsoft...-ae78-820f771d1dbe?page=2

Daar lijken de eigendomsrechten van betreffende map(structuur) niet goed te staan, en het probleem op te lossen door het eigendom van de map weer goed te zetten.

iRacing Profiel

woensdag 7 december 2022 23:31

Acties:

0 Henk 'm!

AltTabKeys

press Ctrl + Z please

Topicstarter

Wild Chocolate schreef op woensdag 7 december 2022 @ 23:23:
Ik kom dit tegen als ik er op zoek:
https://answers.microsoft...-ae78-820f771d1dbe?page=2

Daar lijken de eigendomsrechten van betreffende map(structuur) niet goed te staan, en het probleem op te lossen door het eigendom van de map weer goed te zetten.

Als ik "attrib" doe krijg ik als output "Access Denied" x100
Voorbeeld:|
Commando: CD, dan attrib F:\ARCHIEF
Output: "Acces denied - C:\Windows\System32\ztrace_maps.dll"

Lijkt helaas dus niet de oplossing te zijn.

What a terrible day to have eyes!

woensdag 7 december 2022 23:33

Acties:

0 Henk 'm!

Wild Chocolate

In dat draadje hebben ze het na heel veel command-window discussie over rechtsklikken op de (in dit geval) desktop-map.

Go to file explorer and go to C:\Users\Rick then right click on the Desktop folder. Click "Change Ownership" change the owner to Rick and make sure to tick (that there is a checkmark icon inside) the box that pops up after you change the Owner to Rick but before you press Ok/Apply.

Heb je dat ook geprobeerd, dat bleek daar de oplossing te zijn.

Wellicht in jouw geval de bovenliggende mappen ook proberen?

iRacing Profiel

woensdag 7 december 2022 23:39

Acties:

0 Henk 'm!

AltTabKeys

press Ctrl + Z please

Topicstarter

Ik zie nergens (via rechtermuisknop) de optie om rechten over te nemen (o.i.d).
Wel "Toegang verlenen" en dan "Specifieke persoon", en daar zie ik het volgende:
Afbeeldingslocatie: https://tweakers.net/i/CH0psa0mr8Ts4-QqHmzW52KwCrA=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/FEAp8c6zpFfajdASY7cqBSS4.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/CH0psa0mr8Ts4-QqHmzW52KwCrA=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/FEAp8c6zpFfajdASY7cqBSS4.png?f=user_large

What a terrible day to have eyes!

donderdag 8 december 2022 00:44

Acties:

0 Henk 'm!

Wild Chocolate

In Windows 11:

- Klik in de verkenner met rechts op de map of schijf,
- Kies eigenschappen,
- Op het tabblad beveiliging, kies geavanceerd,
- In het scherm wat nu opent, zie je vrij bovenaan de eigenaar, en de mogelijkheid om die te wijzigen:

Afbeeldingslocatie: https://tweakers.net/i/3y5PlhuT2yQvT1D2xNe6S8F5yCA=/800x/filters:strip_exif()/f/image/JZYATCr5mJp4rnHrZJElrklJ.png?f=fotoalbum_large

Even geen idee meer hoe het in Windows 10 ging, maar daar zou ik in dezelfde richting zoeken.

Het scherm waar jij in zit, zijn de instellingen voor bestandsdeling. Het lijkt er overigens wel op dat er inderdaad iets niet helemaal goed is met de eigendomsrechten, aangezien je Windows de eigenaar niet kent.

[ Voor 13% gewijzigd door Wild Chocolate op 08-12-2022 00:47 ]

iRacing Profiel

donderdag 8 december 2022 00:58

Acties:

0 Henk 'm!

AltTabKeys

press Ctrl + Z please

Topicstarter

Wild Chocolate schreef op donderdag 8 december 2022 @ 00:44:
In Windows 11:

- Klik in de verkenner met rechts op de map of schijf,
- Kies eigenschappen,
- Op het tabblad beveiliging, kies geavanceerd,
- In het scherm wat nu opent, zie je vrij bovenaan de eigenaar, en de mogelijkheid om die te wijzigen:
[Afbeelding]

Even geen idee meer hoe het in Windows 10 ging, maar daar zou ik in dezelfde richting zoeken.

Het scherm waar jij in zit, zijn de instellingen voor bestandsdeling. Het lijkt er overigens wel op dat er inderdaad iets niet helemaal goed is met de eigendomsrechten, aangezien je Windows de eigenaar niet kent.

Is gelukkig exact het zelfde in W10Pro.
Echter is bij mij de eigenaar van F: System, zie screenshot.

Afbeeldingslocatie: https://tweakers.net/i/-ZlVB6mCj2Q40ZC9fFl3eICRG7A=/800x/filters:strip_exif()/f/image/4ODQLZgL7DJBsKbCOQNX4r6A.png?f=fotoalbum_large

What a terrible day to have eyes!

donderdag 8 december 2022 01:02

Acties:

0 Henk 'm!

AltTabKeys

press Ctrl + Z please

Topicstarter

AltTabKeys schreef op donderdag 8 december 2022 @ 00:58:
[...]

Ik gelukkig exact het zelfde in W10Pro.
Echter is bij mij de eigenaar van F: System, zie screenshot.

[Afbeelding]

EDIT:
De schijf is in beheer van SYSTEM. De onderliggende mappen niet. Die zijn eigenaar van een lange nummer reeks. Ik heb die gewijzigd naar SYSTEM, maar verhielp het probleem niet.

What a terrible day to have eyes!

donderdag 8 december 2022 01:53

Acties:

0 Henk 'm!

The_BoKmeester

Heb je dat vinkje/vakje onderaan aangevinkt?

donderdag 8 december 2022 02:01

Acties:

0 Henk 'm!

AltTabKeys

press Ctrl + Z please

Topicstarter

The_BoKmeester schreef op donderdag 8 december 2022 @ 01:53:
Heb je dat vinkje/vakje onderaan aangevinkt?

Yes, nadat ik de screenshot nam.

What a terrible day to have eyes!

donderdag 8 december 2022 02:02

Acties:

+2 Henk 'm!

sh4d0wman

Attack | Exploit | Pwn

Je hebt waarschijnlijk ooit EFS ingeschakeld. Dan heb je het originele OS (EFS) en/of mb + cpu (bitlocker ivm TPM) nodig om ze te ontsleutelen / de key te exporteren.

edit: bitlocker vs EFS (van beiden bestaan ransomware versies mocht je het niet zelf gedaan hebben) Maar dan vind je meestal wel een bericht.

[ Voor 42% gewijzigd door sh4d0wman op 08-12-2022 02:10 ]

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

donderdag 8 december 2022 02:12

Acties:

0 Henk 'm!

AltTabKeys

press Ctrl + Z please

Topicstarter

sh4d0wman schreef op donderdag 8 december 2022 @ 02:02:
Je hebt waarschijnlijk ooit EFS ingeschakeld. Dan heb je het originele OS (EFS) en/of mb + cpu (bitlocker ivm TPM) nodig om ze te ontsleutelen / de key te exporteren.

edit: bitlocker vs EFS (van beiden bestaan ransomware versies mocht je het niet zelf gedaan hebben) Maar dan vind je meestal wel een bericht.

Ai, dan zit ik flink in de problemen. Oude moederbord is kapot…

Simpelweg dus 3tb aan Archief weg. Gelukkig stond het alle belangrijkste op Cloud, maar wel zuur.

What a terrible day to have eyes!

donderdag 8 december 2022 02:24

Acties:

+1 Henk 'm!

sh4d0wman

Attack | Exploit | Pwn

AltTabKeys schreef op donderdag 8 december 2022 @ 02:12:
[...]
Ai, dan zit ik flink in de problemen. Oude moederbord is kapot…

Simpelweg dus 3tb aan Archief weg. Gelukkig stond het alle belangrijkste op Cloud, maar wel zuur.

Als je OS nog op een disk staat zou je er wellicht een virtuel machine van kunnen maken en booten. Dan de EFS key exporteren. Note: nooit zelf geprobeerd dus het is wat uitzoek werk

Anders data bewaren. Er is altijd een kans dat ergens in de toekomst de encryptie gekraakt kan worden. Maar geen garantie...

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

donderdag 8 december 2022 02:39

Acties:

0 Henk 'm!

AltTabKeys

press Ctrl + Z please

Topicstarter

sh4d0wman schreef op donderdag 8 december 2022 @ 02:24:
[...]

Als je OS nog op een disk staat zou je er wellicht een virtuel machine van kunnen maken en booten. Dan de EFS key exporteren. Note: nooit zelf geprobeerd dus het is wat uitzoek werk

Anders data bewaren. Er is altijd een kans dat ergens in de toekomst de encryptie gekraakt kan worden. Maar geen garantie...

Helaas de SSD waar OS op stond, al geformatteerd.

What a terrible day to have eyes!

donderdag 8 december 2022 10:11

Acties:

+1 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Ook nooit een backup gemaakt van de key?

Dan is inderdaad de volgende stap afhankelijk van hoe graag je de data terug wilt en hoeveel je wilt investeren: er zijn tools die (a een paar honderd $) zeggen ESF versleutelde bestanden te kunnen ontsleutelen. Of dat werkt: geen idee. Hoe lang het gaat duren weet ik ook niet (weken fulltime rekenen? Maanden? Langer? Geen idee). Blijf in ieder geval weg van de meer louche sites en bedrijven.

Of schijven in de kast leggen en zien of er over 5 of 10 jaar meer mogelijkheden zijn.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 8 december 2022 13:43

Acties:

+1 Henk 'm!

sh4d0wman

Attack | Exploit | Pwn

Ik heb sterke twijfels bij tools die claimen het te kunnen kraken zonder toegang tot het originele OS.

Het lijkt te leunen op Mimikatz om via een omweg het certificaat te reconstrueren. Maar daarvoor is wel van belang dat je bij diverse directories kan komen welke niet standaard in een backup zitten.

Linkje: https://tinyapps.org/docs...-without-cert-backup.html

Wees dus voorzichtig met geld uitgeven

Lukt het wel dan horen we dat graag...

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

donderdag 8 december 2022 15:36

Acties:

+1 Henk 'm!

zetje01

Maar...
Je hebt nog niet bevestigd dat je EFS hebt ingeschakeld op je oude systeem.
Ik ga er van uit dat je dat nog wel weet, dat je encryptie hebt ingeschakeld, en dat je je wachtwoord ook ergens hebt opgeslagen.

donderdag 8 december 2022 19:11

Acties:

0 Henk 'm!

AltTabKeys

press Ctrl + Z please

Topicstarter

zetje01 schreef op donderdag 8 december 2022 @ 15:36:
Maar...
Je hebt nog niet bevestigd dat je EFS hebt ingeschakeld op je oude systeem.
Ik ga er van uit dat je dat nog wel weet, dat je encryptie hebt ingeschakeld, en dat je je wachtwoord ook ergens hebt opgeslagen.

Ik heb nooit (bewust) EFS ingeschakeld. Niet via BitLocker of andere software.
Dat is het rare juist

What a terrible day to have eyes!

donderdag 8 december 2022 19:16

Acties:

+1 Henk 'm!

Drucchi

zetje01 schreef op donderdag 8 december 2022 @ 15:36:
Maar...
Je hebt nog niet bevestigd dat je EFS hebt ingeschakeld op je oude systeem.
Ik ga er van uit dat je dat nog wel weet, dat je encryptie hebt ingeschakeld, en dat je je wachtwoord ook ergens hebt opgeslagen.

Sterker nog, als je de EFS key-backup op de encrypted disk wilt opslaan, dan kan dat niet. Precies om deze casus te voorkomen.

donderdag 8 december 2022 21:17

Acties:

0 Henk 'm!

fastedje

AltTabKeys schreef op woensdag 7 december 2022 @ 22:14:

Wellicht niet de geijkte Windows oplossing, maar bij mij werkt dit snel.en efficiënt:

Installeer cygwin, samen met basic file utils zoals chmod en chown.

Dan right-click cygwin shell -> uitvoeren als admin

code:

1 2	cd /cygdrive/x/yourdir chown -r youruserid:yourgroupid *

Je kan ook nog een chmod -r a+rwx doen op diezelfde bestanden.

Tip: test dit eerst op test dit die je even aanmaakt met wat bestanden erin.

Je huidige userid/groupid kan je met een reguliere cygwin shell zien:

code:

id

donderdag 8 december 2022 21:56

Acties:

0 Henk 'm!

AltTabKeys

press Ctrl + Z please

Topicstarter

fastedje schreef op donderdag 8 december 2022 @ 21:17:
[...]

Wellicht niet de geijkte Windows oplossing, maar bij mij werkt dit snel.en efficiënt:

Installeer cygwin, samen met basic file utils zoals chmod en chown.

Dan right-click cygwin shell -> uitvoeren als admin
code:
1
2
cd /cygdrive/x/yourdir
chown -r youruserid:yourgroupid *
Je kan ook nog een chmod -r a+rwx doen op diezelfde bestanden.

Tip: test dit eerst op test dit die je even aanmaakt met wat bestanden erin.

Je huidige userid/groupid kan je met een reguliere cygwin shell zien:
code:
1
id

Waar moet ik Chmod en Chown downloaden? Ik heb Crygwin geinstalleerd.

What a terrible day to have eyes!

donderdag 8 december 2022 22:39

Acties:

+1 Henk 'm!

DukeBox

Voor je 't weet wist je 't nie

Dat is niet echt nuttig als het encrypted is. i.p.v. chown zou dan ook gewoon take ownership moeten werken.

Mocht je de windows tegenhanger zoeken, dat is icacls: https://learn.microsoft.c...n/windows-commands/icacls

Duct tape can't fix stupid, but it can muffle the sound.

vrijdag 9 december 2022 10:26

Acties:

0 Henk 'm!

fastedje

AltTabKeys schreef op donderdag 8 december 2022 @ 21:56:
[...]

Waar moet ik Chmod en Chown downloaden? Ik heb Crygwin geinstalleerd.

Je kan bij de setup.exe kiezen welke packages je installeert. Ik denk dat je het coreutils package nodig hebt.

De executables zijn in /use/bin te vinden.
Sommige executables zoals fdisk staan in /sbin

maandag 12 december 2022 05:44

Acties:

0 Henk 'm!

sh4d0wman

Attack | Exploit | Pwn

@AltTabKeys Heb je al eens gezocht naar *.pfx bestand(en) op je externe schijf? Dat zou je EFS certificaat bevatten, beschermd met een wachtwoord.

Heb nog even met EFS gespeeld dit weekend en er zitten wel een paar gotcha's in...

EFS Instellen:
Rechts-klikken op een bestand of folder en kiezen voor:
Properties -> General -> Advanced -> Encrypt Contents to secure data

Hierna volgen twee opties:
1. Encrypt the file and parent folder (default)
2. Encrypt the file only

Pas op 1:
de default optie is een gevaarlijke....
!! Alles !! in de parent folder is dan beschermd door EFS, niet alleen het bestand wat je hebt geselecteerd.
Dus selecteerde je b.v. een bestand in Downloads dan is met deze optie ALLES onder Downloads door EFS beschermd.

Pas op 2:
Kopieer je een EFS beschermd bestand naar een fileshare dan wordt de encryptie verwijderd.

Foutmelding:
Probeer je een EFS beschermd bestand te openen zonder de key dan volgt er een foutmelding welke nergens op encryptie hint:

You do not have permissions to open this file. See the owner of the file or an administrator to obtain permissions.

Hier komt de verwarring om dan maar via Linux te proberen de rechten aan te passen.

EFS Key Management:
Na het instellen van EFS verschijnt er in de taakbalk een pop-up mbt keymanagement.

Hier volgen 3 opties:
1. Back up now
2. Back up later
3. Never back up

Klik optie 1 en je kunt een *.pfx lokaal opslaan. Deze moet je beschermen met een wachtwoord.
Klik optie 2 en de melding komt zodra je opnieuw aanmeldt.
Klik optie 3 en de melding is compleet verdwenen.

Door het .pfx bestand te importeren onder een andere user kun je weer bij de EFS bestanden komen.

Pas op:
Het is mogelijk om de keyfile in een EFS (parent) folder op te laten slaan. Dan kun je er vervolgens met een ander account niet bij om het te importeren.

Conclusie:
Als je de standaard setting gebruikt en de key vervolgens niet op slaat of het wachtwoord vergeet dan heb je je eigen ransom/wiperware uitgerold.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

woensdag 14 december 2022 11:40

Acties:

0 Henk 'm!

downtime

Everybody lies

sh4d0wman schreef op maandag 12 december 2022 @ 05:44:

Pas op 2:
Kopieer je een EFS beschermd bestand naar een fileshare dan wordt de encryptie verwijderd.

Weet je dit zeker? Heb je het getest met een fileshare op een NTFS-disk?

Het is heel lang geleden dat ik (tijdens een cursus) iets met EFS deed maar ik meen me te herinneren dat de EFS encryptie meegekopieerd wordt naar elke disk die met NTFS geformatteerd is omdat EFS een attribuut vereist wat alleen door NTFS wordt ondersteund.

woensdag 14 december 2022 12:23

Acties:

0 Henk 'm!

sh4d0wman

Attack | Exploit | Pwn

downtime schreef op woensdag 14 december 2022 @ 11:40:
[...]

Weet je dit zeker? Heb je het getest met een fileshare op een NTFS-disk?

Het is heel lang geleden dat ik (tijdens een cursus) iets met EFS deed maar ik meen me te herinneren dat de EFS encryptie meegekopieerd wordt naar elke disk die met NTFS geformatteerd is omdat EFS een attribuut vereist wat alleen door NTFS wordt ondersteund.

Ik heb een Win10 Pro host en guest VM en virtualbox. Met virtualbox een drivemapping gemaakt. Dat zou dan toch gewoon NTFS moeten zijn. Zal er nog eens naar kijken. Je krijgt iig de melding dat bij verplaatsen van het EFS bestand het resultaat plaintext zal worden.

(ik simuleer thuisgebruik, dus geen DC/server omgeving, zal nog eens kijken wat een thumbdrive voor resultaat geeft)

[ Voor 7% gewijzigd door sh4d0wman op 14-12-2022 12:49 ]

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

Pagina: 1

Reageer