Восстановление данных с поврежденного диска, зашифрованного BitLocker

Сегодня мы опишем процедуру восстановления данных с диска, зашифрованного с помощью Bitlocker. Рассмотрим простой сценарий и сценарий с поврежденным диском Bitlocker. Такая проблема может возникнуть вследствие повреждения файловой системы на зашифрованном диске (например, повреждения области жесткого диска, в которой BitLocker хранит важную информацию, вызванного неожиданным завершением работы системы), невозможности загрузки ОС или консоли восстановления BitLocker, и подобных ошибок, которые препятствуют нормальному открытию зашифрованного диска. Описанные проблемы могут возникнуть как с системным диском, так и со съёмным внешним или USB диском.

Для восстановления данных мы воспользуемся утилитой Repair-bde (BitLocker Repair Tool). Эта утилита командной строки, которая появилась еще в Windows 7 / 2008 R2 и используется для доступа и восстановления зашифрованных данных на поврежденном диске, зашифрованным BitLocker-ом.

Требования для восстановления данных с тома BitLocker

Для восстановления данных с диска, зашифрованного BitLocker нужно иметь хотя один из следующих элементов системы защиты BitLocker:

• Пароль BitLocker (тот самый, который вы вводите в графическом интерфейсе Windows при разблокировке зашифрованного диска);
• Ключ восстановления BitLocker;
• Ключ запуска системы (Startup key — .bek) – ключ на USB флешке, который позволяет автоматически расшифровывать загрузочный раздел, не требуя ввода пароля от пользователя.

Ключ восстановления BitLocker (BitLocker Recovery Key) представляет собой уникальную последовательность из 48 символов. Ключ восстановления генерируется при создании тома Bitlocker, его можно распечатать (и хранить в безопасном месте, например, в сейфе), сохранить в виде текстового файла на локальный (это не рекомендуется, т.к. при повреждении диска вы не сможете расшифровать свои данные) или внешний диск, или сохранить в свою учетную запись Microsoft.

Ключ восстановления Bitlocker можно найти в своем аккаунте на сайте Microsoft по ссылке https://onedrive.live.com/recoverykey .

Несколько нюансов касательно восстановления данных с диска BitLocker. Данные нужно восстанавливать на отдельный диск, размер которого должен быть не меньше, чем размер поврежденного диска. В процессе восстановления все содержимое этого диска будет удалено и заменено расшифрованными данными с тома BitLocker.
В нашем примере диск F: (размер 2 Гб) это USB флешка, содержимое которой зашифровано с помощью BitLocker. Данная флешка по какой-то причине не открывается. Для восстановления данных мы установили дополнительный внешний диск Data (G:), емкостью (10 Гб).

Разблокировать диск, зашифрованный BitLocker, в среде Windows

Самая простая ситуация, когда вам нужно разблокировать зашифрованный BitLocker диск в самой Windows. Вероятно, у вас есть внешний диск или USB флешка, защищенная с помощью BitLocker, которая не открывается, или вы хотите открыть зашифрованный диск на другом компьютере.

Подключите диск к компьютеру и перейдите в раздел Панель управления -> Система и безопасность -> Шифрование диска BitLocker (доступно в Professional и выше редакциях Windows).

В списке дисков выберите зашифрованный BitLocker диск и нажмите кнопку Разблокировать диск.

В зависимости от способа зажиты укажите пароль, PIN ключ восстановления и подключите смарт-карту. Если вы не знаете пароль, но сохранился ключ восстановления, выберите Дополнительные параметры —> Введите ключ восстановления.

Если у вас несколько ключей восстановления, вы можете определить нужный ключ восстановления с помощью идентификатора, который отображается в окне. Если вы указали правильный ключ, диск разблокируется и сможете получить доступ к данным на нем.

Как разблокировать зашифрованный Bitlocker диск, если Windows не загружается

Рассмотрим ситуацию, когда ваш системный диск зашифрован с помощью Bitlocker и по какой-то причине ваша Windows перестала загружаться (синий экран смерти, зависает при загрузке, некорректные обновления и т.д.)

Попробуйте запустить среду восстановления Windows (она автоматически запуститься, если 3 раза подряд Windows не смогла загрузиться). Если среда WinRE не работает, вы можете загрузить компьютер установочного диска с Windows 10, диска восстановления MsDaRT или другого загрузочного диска. Чтобы запустить командную строку, выберите пункт Troubleshoot -> Advanced options -> Command Prompt, или нажмите клавиши Shift+F10.

В окне командной строки проверьте состояние всех дисков компьютера (так мы найдем зашифрованный Bitlocker диск):

В результат команды у одного (или нескольких) из дисков должен содержаться такой текст: “BitLocker Drive Encryption: Volume D”. Значит у вас зашифрован диск D.

Разблокируем его, выполнив команду:

manage-bde -unlock D: -pw

Команда попросит указать пароль BitLocker:

Enter the password to unlock this volume:

Если пароль правильный, появится сообщение:

The password successfully unlocked volume D:.

Ваш диск расшифрован, и вы можете приступать к восстановлению ОС.

Если вы хотите совсем отключить защиту диска BitLocker, выполните:

manage-bde -protectors -disable D:

Выполните перезагрузку компьютера. Теперь загрузочный диск не зашифрован.

Восстановление данных с помощью пароля BitLocker

В первую очередь попробуйте восстановить данные по этой методике (она будет работать в Windows 10, 8.1 / Server 2012 /R2/2016 и выше):

1. Запустите командную строку с правами администратора:
2. Выполните команду:
   repair-bde F: G: -pw –Force
   , где F: — диск с данными Bitlocker, G: — диск на который необходимо извлечь расшифрованные данные;
3. В процессе выполнения команды нужно будет указать пароль Bitlocker (тот самый, который вводится пользователем в графическом интерфейсе Windows для получения доступа к зашифрованному тому).

Расшифровка тома Bitlocker с помощью ключа восстановления

Для расшифровки данных, находящихся на поврежденном томе, содержимое которого зашифровано Bitlocker нам понадобится ключ восстановления или ключ загрузки системы (если зашифрован системный раздел).

Запустите восстановление данных с помощью ключа восстановления:

repair-bde F: G: -rp 288409-515086-417208-646712-162954-590172-127512-667568 –Force

Если Bitlocker используется для шифрования системного раздела с Windows, а для загрузки системы используется специальный ключ запуска на USB флешке, зашифрованный том можно расшифровать так:

где, файл 3F558473-943D-4330-8449-62C36BA53345.BEK – ключ запуска шифрования диска BitLocker на USB флешке I:\ (по умолчанию этот файл скрыт).

После выполнения процедуры восстановления и расшифровки данных, прежде чем открыть диск, на который было извлечено содержимое тома Bitlocker , необходимо обязательно выполнить его проверку. Для этого выполните следующую команду и дождитесь ее завершения:
Chkdsk G: /f

Как открыть зашифрованный BitLocker диск в Linux

Вы можете открыть зашифрованный BitLocker диск и из-под Linux. Для этого понадобятся утилита DisLocker и ключ восстановления BitLocker .

В некоторых дистрибутивах (например, Ubuntu) утилита dislocker уже имеется. Если утилита не установлена, скачайте и скомпилируйте ее вручную.
tar -xvjf dislocker.tar.gz
В файле INSTALL.TXT указано, что необходимо установить пакет libfuse-dev:
sudo apt-get install libfuse-dev
Теперь соберите пакет.
cd src/make make install
Перейдите в каталоге mnt и создайте две директории (для зашифрованного и расшифрованного раздела):
cd /mntmkdir Encr-partmkdir Decr-part
Найдите зашифрованный раздел (команда fdisk –l) и расшифруйте его с помощью ключа восстановления во второй каталог.

dislocker -r -V /dev/sdb1 -p your_bitlocker_recovery_key /mnt/Encr-part

В этом примере мы используем утилиту DisLocker в режиме FUSE (Filesystem in Userspace, позволяющем пользователям без привилегий создавать собственные файловые системы. В режиме FUSE расшифровывается только тот блок, к которому обращается система (“на лету”). При этом возрастает время доступа к данным, но этот режим гораздо безопаснее.

Смонтируйте раздел:
mount -o loop Driveq/dislocker-file /mnt/Decr-part
Теперь вы должны увидеть все файлы на зашифрованном разделе.

Что делать, если невозможно открыть зашифрованный диск.

(обновлено 27 Декабря 2011)

Бывают случаи, когда к нам обращаются с вопросом

«… Я работал с секретным Rohos диском и хранил там важные файлы, и вдруг Windows говорит что диск неотформатированный. Что делать? Форматировать его?»

Ни в коем случае не надо форматировать Rohos диск!

Далее я приведу выписку из Справочного файла с описанием такой ситуации и как это предотвратить или исправить.

Вначале напишу о том, как предотвратить утерю пароля от Rohos диска. Это поможет в случае, если пароль забыт.

Создание Файла для восстановления пароля к диску

(резервная копия криптографических ключей для шифрования диска)

Программа позволяет создать файл для сброса пароля к Rohos диску. В будущем, если вы забудете пароль к диску, вы сможете установить новый пароль и таким образом получить доступ к диску с помощью этого файла. Неважно сколько раз пароль был изменен, этот файл создается всего лишь один раз.

Как создать файл для восстановления пароля:

1. Oткройте главноe окнo Rohos Disk
2. В правом нижнем углу щелкните на ссылку Создать резервную копию
3. В открывшемся диалоге следует указать путь к файлу-контейнеру диска. Если главный диск включен, этот путь установиться автоматически. Можно также указать любой образ диска.
4. Затем введите пароль к диску или нажмите сразу Создать копию, если USB Ключ подключен.
5. Резервная копия была создана.

Внимание: местонахождение этого файла должно храниться в секрете, иначе любой другой пользователь сможет воспользоваться им для доступа к зашифрованному диску.

Восстановление диска

Эта функция помогает восстановить Rohos диск или пароль к диску. Восстановление происходит на основе RDX файла, который пользователь должен создать заранее, либо на основе *.rdi1 файла который создается автоматически. RDI1 файл защищен паролем, он содержит ключи шифрования и другую информацию от Rohos диска, обычно он находится рядом с образом диска.

Внимание: Перед восстановлением диска убедитесь, что он отключён.

Как воспользоваться функцией восстановления диска:

1. В меню Справка программы Rohos Disk перейдите по ссылке Восстановление диска
2. В открывшемся диалоге следует указать
   • путь к файл-контейнеру диска (*.rdi файл). Это поле можно оставить пустым — диалог покажет информацию о диске вместо его восстановления.
   • путь к резервным файлам. (*.RDX или *.RDI1 файлы).
     RDI1 файл — автоматически создается программой рядом с образом диска или в папке C:\Users\USER\AppData\Local\Rohos.
3. В строке ввода пароля введите
   • Новый пароль к диску — если вы восстанавливаете пароль (был выбран *.RDX файл)
   • Существующий пароль от диска, либо первоначальный пароль к диску (если пароль менялся) — если вы восстанавливаете диск.
4. Нажмите OK — произойдет попытка включения диска.

Диск может включиться, но он будет неотформатированным — ни в коем случае не форматируйте его это может привести к потере данных.

Неотформатированный диск означает, что вы использовали неверный *.RDX или *.RDI1 файл не от этого файл-контейнера. Чтобы убедиться, что это верный rdi1 файл, в диалоге Восстановление Диска НЕ указывайте путь к файлу-контейнеру диска (*.rdi файл). После нажатия кнопки ОК — если пароль верный — диалог покажет свойства диска от этого RDI1 файла.

Если вы восстанавливаете главный диск, и он все еще виден как неотформатированный:

• попытайтесь включить главный диск с помощью команды «Подключить еще…«
• попробуйте открыть образ диска с помощью Утилиты Rohos Disk Browser (rbrowser.exe)
• попробуйте проверить диск на наличие ошибок (см. ниже).

Восстановление Зашифрованной части на USB накопителе.

В случае использования функции защита USB накопителя, образ Rohos диска находиться в папке F:\_rohos\ (где F:\ буква вашего USB накопителя). Обычно файл образа диска выглядит как rdisk*.rdi (размером от 10 мб до нескольких гигабайт). Папка _rohos скрытая и в проводнике ее не видно. Чтобы в неё попасть небходимо:

1. Открыть меню Пуск -> Выполнить (или нажать Win + R).
2. Набрать «F:\_rohos\» (вместо F:\ введите букву вашего USB накопителя) и нажать OK.

Если вы восстанавливаете диск, то в диалоге выбора *RDI1, *RDX, в поле имени файла необходимо набрать F:\_rohos\и нажать Enter чтобы перейти в данную папку.

Проверка диска

С помощью этой команды диск будет проверен на наличие ошибок. Помогает в случае, если диск не включается или виден как неотформатированный. Эту команду можно применить только к включенному диску.

Эту команду можно также запустить вручную:

• Кнопка Пуск (Start) -> Выполнить
• Введите командную строку «chkdsk.exe r: /f /x», где R: — буква вашего диска.
  После выполнения этой команды появится окно с черным фоном. Необходимо подождать пока оно закроется.
• После завершения проверки диска можно попробовать выключить и включить диск снова.

Диск виден как неотформатированный

Внимание: В случае, если вы ранее пользовались Rohos диском и после очередного включения он появился как Неотформатированный, то ни в коем случае не надо его форматировать.

1. Сразу после создания диска программа Rohos пытается автоматически отформатирвать диск (NTFS). В некоторых случаях этого не удается сделать, тогда диск остается неотформатированным и вы должны вручную его отформатировать:

• Откройте окно Мой Компьютер
• Мышкой правый клик над иконкой диска — и выберите команду Форматировать
• В диалоге Форматирование диска нажмите OK.

2. Если вы ранее пользовались Rohos диском, то необходимо предпринять ряд мер:

1. Перезапустите компьютер и попробуйте еще раз включить диск.
2. Если это не помогло, запустите команду проверка диска (либо с помощью командной строки «chkdsk.exe r: /f /x», где R: — буква вашего диска. ) Затем выключите и включите диск заново. Также вы можете попробовать проверить ваш HDD диск на наличие ошибок.
3. Если это не помогло, попытайтесь включить диск с помощью команды «Подключить еще…» (вы можете использовать USB flash drive вместо пароля)
4. Попробовать открыть образ диска с помощью Утилиты Rohos Disk Browser (rbrowser.exe)
5. Если это не помогает, обратитесь к помощи диалога Восстановление диска.

Если это не помогло, обратитесь к нам.

Восстановление файлов с зашифрованного диска, который повреждён

Иногда повреждения дисковых накопителей (в особенности USB флэш накопителей) может привести к повреждениям внутри контейнера Rohos Disk. Как следствие, зашифрованный диск виден как неотформатированный либо с него исчезли файлы, папки.
В данной ситуации мы советуем вам использовать бесплатную утилиту PhotoRec:

PhotoRec программа для восстановления данных. Прежде всего, предназначена для восстановления потерянных разделов и/или восстановления загрузочной области дисков, если эта проблема вызвана программно, вирусами или ошибками человека.
Может находить потерянные разделы для файловых систем: DOS, FAT12, FAT16, FAT32, Linux, Linux Swap, NTFS, BeFS (BeOS), BSD (FreeBSD/OpenBSD/NetBSD) , Mac, ReiserFS, JFS, XFS, HFS, CramFS. Программа PhotoReс, предназначенная для восстановления потерянных файлов в памяти цифровой камеры (CompactFlash, Memory Stick, SecureDigital, SmartMedia, Microdrive, MMC, USB Memory Drives и т. д.), на жестких дисках и компакт-дисках. Она восстанавливает большинство основных форматов изображений, включая JPEG, а также аудио файлы, включая MP3, документы таких форматов как Microsoft Office, PDF, и HTML, и форматы архивов, включая ZIP.
PhotoRec будет работать даже если файловая система сильно повреждена или переформатирована.

PhotoRec способен работать с виртуально зашифрованным диском как с буквой диска:

Восстановлению подлежат только те файлы, формат которых прописан в программе PhotoRec.

• Если файлы успешно восстановлены они сохраняются как File1, File2 и т.д. Прежние имена файлов не сохраняются.
• Также в случае с папками, программа восстанавливает папки иерархически с соответствующими названиями Folder1, Folder2, Folder3 и т.д.
• Наш опыт показал, что программа восстановила PDF, DOC, DOCX, XLS документы, множество форматов картинок.

Вы можете использовать эту утилиту для восстановления потерянных файлов с любого накопителя: зашифрованные диски любого производства, USB флэш накопители, карты памяти.