Не виден раздел на диске и файлы на нем, в моем компьютере на диске стоит желтый закрытый замок — диск был зашифрован BitLocker. Как узнать ключ и расшифровать диск

Вопрос от пользователя
Здравствуйте!
Помогите с одной проблемой. Хочу переустановить Windows 10, но не могу сделать копию нужных мне файлов с раздела диска с ОС — Windows не загружается, а этот раздел в различных программах просто не виден (я загружался с LiveCD).
В одной из программ увидел, что вместо файловой системы стоит примечание «BitLocker». Я так понимаю, что этот диск был зашифрован. Но я это не включал, помогите, как снять эту блокировку и расшифровать диск.
Если у вас установлена современная Windows 10/11 на относительно новом устройстве — то совсем не обязательно, чтобы вы заходили в параметры и включали вручную BitLocker для шифрования диска (это «может» работать в авто-режиме // зависит от версии ОС, предустановок. ) . В общем, ничего удивительного.
Однако, не спешите отчаиваться, кое-что для «спасения» данных сделать можно. 👌

Как «разблокировать» BitLocker и «увидеть» разделы на диске
Как понять, что диск был зашифрован (а не случилась с ним какая-то другая «проблема»)
Разумеется, причин «невидимости» диска гораздо больше, чем «один BitLocker» (раздел может не отображаться в ряде программ, если на нем слетела файловая система, например). Поэтому, для начала будет логично удостовериться, что причина именно в шифровании.
Если Windows загружается
Если текущая Windows 10/11 на «проблемном» разделе (которую вы хотите переустановить) у вас еще хоть как-то работает и загружается — попробуйте в ней 👉 открыть управление дисками.
Далее посмотрите, нет ли в примечании диска надписи про «шифрование». Как это может выглядеть показано на скрине ниже. 👇 Если есть — то это наш случай! 👌

Управление дисками — шифрование включено!
Кстати, если у вас ОС Windows 11 — то в параметрах системы ( Win+i ) можно открыть вкладку «Система / Память / Доп. параметр хранилища / диски и тома « и посмотреть свойства нужного тома. Вся информация тоже «как на ладони». 👇

Параметры Windows 11 — доп. параметры хранилища — диски и тома
Если Windows не загружается
В этом случае нам понадобиться LiveCD-флешка. Если она у вас не была подготовлена заранее — вам понадобится рабочий компьютер. Пару ссылок в помощь:
- выбор 👉 LiveCD и его запись на флешку;
- как 👉 загрузиться с «аварийной» LiveCD флешки.
В своем примере я использовать флешку LiveCD от Сергея Стрельца.
Обратите внимание, если запустить проводник и открыть «Мой компьютер» — не открывающиеся диски будут помечены желтым значком замка (закрытым!). 👇 Это значит, что они зашифрованы и их без ключа не открыть! 👌

Диск отображается с замочком!
Если запустить Acronis Disc Director — то диск будет помечен как «Не отформатированный».

Acronis Disc Director — не отформатирован раздел
А в Minitool Partition Wizard вместо файловой системы будет значится «BitLocker».

Minitool Partition Wizard — файловая система BitLocker
Собственно, если у вас нечто похожее — проблема диагностирована, ниже попробуем ее «разрешить».
Как узнать ключ BitLocker, снять блокировку и расшифровать диск
В общем-то, заниматься этим нужно только в том случае, если на диске у вас есть важные данные. Если же вы хотите просто установить новую ОС (а текущие данные вам не нужны) — то можно просто удалить все разделы с диска и отформатировать его.
Теперь о том, что делать, если нужны данные.
Вариант 1
Если у вас на этом зашифрованном диске есть «рабочая» Windows 10/11 (что обычно и бывает // она-то и зашифровала его) — то наипростейшим и лучшим вариантом будет загрузить ее, открыть параметры системы, и в разделе «Конфиденциальность и безопасность/шифрование устройства» отключить шифрование! См. пример ниже. 👇

Чтобы том на диске стал виден при загрузке с LiveCD (и в различном ПО) — необходимо откл. шифрование!
Через некоторое время диск будет расшифрован, и вы сможете работать с ним из-под любых программ и LiveCD.
📌 Однако, имейте ввиду, что в этом случае вы подвергаете свое устройство определенному риску: любой, кто заполучит ваш диск — будет способен прочитать с него всю информацию!

Вариант 2
- 👉 попросить своего администратора (или специалиста, который занимается обслуживанием вашего ПК). Это обычно относится к устройствам на работе (в домашних условиях — все всё делают самостоятельно. 😉);
- 👉 если вы вручную активировали защиту BitLocker (или бывший владелец вашего компьютера) — наверняка у вас должна быть распечатка или USB-флешка с ключом. Собственно, при помощи «этого добра» можно разблокировать диск;
- 👉 если защита была актирована автоматически (это происходит на новых ОС и устройствах) — то 📌 проверьте свой аккаунт на сайте Microsoft — я привел ссылку на страницу с ключами! ( прим. : многие считают, что у них и нет никакого аккаунта — но они часто ошибаются! В общем, попробуйте для авторизации свой логин от Skype или номер телефона!).

Ключи восстановления BitLocker — скриншот с сайта Microsoft
Собственно, узнав свой ключ на сайте Microsoft (☝️) — можете снова загрузиться с LiveCD флешки, открыть проводник и перейти в «Мой компьютер» , щелкнуть по диску — и ввести в окно ключ разблокировки.

Разблокировка диска с помощью ключа
Если ключ был введен верно — вы увидите, что значок «закрытого замка» на диске стал «открытым» — т.е. теперь вы сможете открыть в проводнике этот диск и прочитать с него всю информацию!

Диск был разблокирован.
Разумеется, можно будет также использовать многие утилиты и программы для работы с накопителями (однако, ряд операций в них будет недоступен!).
В общем-то, даже такого доступа к диску будет достаточно, чтобы скопировать с него всю нужную и важную информацию. То бишь — задача решена! 👌
Как удалить шифровальщик и восстановить данные
Как только троян-вымогатель / шифровальщик попадает в вашу систему, уже поздно пытаться спасти несохраненные данные. Удивительно, но многие киберпреступники не отказываются от своих обязательств после оплаты выкупа и действительно восстанавливают ваши файлы. Конечно, никто гарантий вам не даст. Всегда есть шанс, что злоумышленник заберет деньги, оставив вас наедине с заблокированными файлами.
Тем не менее, если вы столкнулись с заражением шифровальщиком, не стоит паниковать. И даже не думайте платить выкуп. Сохраняя спокойствие и хладнокровие, проделайте следующие шаги:
1. Запустите антивирус или антивирусный сканер для удаления трояна

Строго рекомендуется удалить заражение в безопасном режиме без сетевых драйверов. Существует вероятность того, что шифровальщик мог взломать ваше сетевое подключение.
Удаление вредоносной программы является важным шагом решения проблемы. Далеко не каждая антивирусная программа сможет справится с очисткой. Некоторые продукты не предназначены для удаления данного типа угроз. Проверьте, поддерживает ли ваш антивирус данную функцию на официальном сайте или связавшись со специалистом технической поддержки.
Основная проблема связана с тем, что файлы остаются зашифрованы даже после полного удаления вредоносного заражения. Тем нем менее, данный шаг как минимум избавит вас от вируса, который производит шифрование, что обеспечит защиту от повторного шифрования объектов.
Попытка расшифровки файлов без удаления активной угрозы обычно приводит к повторному шифрованию. В этом случае вы сможете получить доступ к файлам, даже если заплатили выкуп за инструмент дешифрования.
2. Попробуйте расшифровать файлы с помощью бесплатных утилит
Опять же, вы должны сделать все возможное, чтобы избежать оплаты выкупа. Следующим шагом станет применение бесплатных инструментов для расшифровки файлов. Обратите внимание, что нет гарантий, что для вашего экземпляра шифровальщика существует работающий инструмент дешифрования. Возможно ваш компьютер заразил зловред, который еще не был взломан.
“Лаборатория Касперского”, Avast, Bitdefender, Emsisoft и еще несколько вендоров поддерживают веб-сайт No More Ransom!, где любой желающий может загрузить и установить бесплатные средства расшифровки.
Первоначально рекомендуется использовать инструмент Crypto Sheriff, который позволяет определить ваш тип шифровальщика и проверить, существует ли для него декриптор. Работает это следующим образом:
- Выберите и загрузите два зашифрованных файла с компьютера.
- Укажите на сайте электронный адрес, который отображается в информационном сообщение с требованием выкупа.
- Если адрес электронной почты неизвестен, загрузите файл .txt или .html, содержащий заметки шифровальщика.

Crypto Sheriff обработает эту информацию с помощью собственной базы данных и определит, существует ли готовое решение. Если инструменты не обнаружены, не стоит отчаиваться. Одни из декрипторов все-равно может сработать, хотя вам придется загрузить и протестировать все доступные инструменты. Это медленный и трудоемкий процесс, но это дешевле, чем платить выкуп злоумышленникам.
Инструменты дешифрования
Следующие инструменты дешифрования могут расшифровать ваши файлы. Нажмите ссылку (pdf или инструкция) для получения дополнительной информации о том, с какими вымогателями работает инструмент:
- BDAvaddonDecryptor Avaddon Decryptor (инструкция) (обновлено 17-05-2021)
- BDAvaddonDecryptor Avaddon Decryptor (инструкция) (обновлено 19-02-2021) (инструкция) (обновлено 09-02-2021) (инструкция) (обновлено 09-02-2021) (инструкция) (обновлено 24-09-2020) (инструкция) (обновлено 18-09-2020) (инструкция) (обновлено 18-09-2020) (инструкция) (обновлено 13-08-2020) (инструкция) (обновлено 21-07-2020) (инструкция) (обновлено 21-07-2020) (инструкция) (обновлено 10-06-2020) (инструкция) (обновлено 10-06-2020) (инструкция) (обновлено 10-06-2020) (инструкция) (обновлено 10-06-2020) (инструкция) (обновлено 28-05-2020) (инструкция) (обновлено 28-05-2020) (инструкция) (обновлено 28-05-2020) , дешифрока DragonCyber Ransom и файлов .fun , .game и .zemblax (инструкция) (обновлено 28-05-2020) (инструкция) (обновлено 06-05-2020) (инструкция) (обновлено 06-05-2020) (инструкция) (обновлено 05-05-2020) (инструкция) (обновлено 21-04-2020) (инструкция) (обновлено 21-04-2020) (инструкция) (обновлено 20-04-2020) (инструкция) (обновлено 21-02-2020) (инструкция) (обновлено 08-02-2020) (инструкция) (обновлено 15-01-2020) (инструкция) (обновлено 26-11-2019) (инструкция) (обновлено 22-11-2019) (инструкция) (обновлено 04-11-2019) (инструкция) (обновлено 04-11-2019) (инструкция) (обновлено 23-10-2019) (инструкция) (обновлено 14-10-2019) (инструкция) (обновлено 14-10-2019) ) (обновлено 04-10-2019) (инструкция) – включая Yatron Ransom, FortuneCrypt Ransom, Jaff, XData, AES_NI, Dharma, Crysis, Chimera, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt) версии 3 и 4. (обновлено 30-09-2019) (инструкция) (обновлено 30-09-2019) (инструкция) (обновлено 26-09-2019) (инструкция) (обновлено 28-08-2019) (инструкция) (обновлено 12-08-2019) (инструкция) (обновлено 26-07-2019) (инструкция) (обновлено 26-07-2019) (инструкция) (обновлено 26-07-2019) (инструкция) (обновлено 26-07-2019) (инструкция) (обновлено 23-05-2019) (инструкция) (обновлено 21-05-2019) (инструкция) (обновлено 06-05-2019) (инструкция) (обновлено 03-05-2019) (инструкция) (обновлено 29-04-2019) (инструкция) (обновлено 29-04-2019) (инструкция) (обновлено 29-04-2019) (инструкция) (обновлено 29-04-2019) (инструкция) (обновлено 29-04-2019) (инструкция) (обновлено 12-03-2019) (инструкция) (обновлено 19-02-2019) (инструкция) (добавлено 22-01-2019) (инструкция) (добавлено 28-02-2018) (инструкция) (добавлено 16-08-2017) (инструкция) (добавлено 13-07-2017) (инструкция) (добавлено 23-06-2017) (инструкция) (добавлено 21-06-2017) (или этот инструмент) (pdf) (pdf) (инструкция) (pdf) (инструкция) – расшифровка CryptXXX (V1, V2, V3), CryptXXX (V4, V5), TeslaCrypt V1, TeslaCrypt V2, TeslaCrypt V3, TeslaCrypt V4, SNSLocker, AutoLocky, BadBlock, 777, XORIST, XORBAT, CERBER V1, Stampado, Nemucod, Chimera, LECHIFFRE, MirCop, Jigsaw, Globe/Purge (V1, V2, V3), DXXD V1, Teamxrat/Xpan V2, Crysis, TeleCrypt, DemoTool и WannaCry (WCRY). (инструкция) – включая CryptXXX (1, 2 и 3), Marsjoke aka Polyglot, AutoIt, Fury, Crybola, Cryakl; (pdf) (pdf) (pdf) (инструкция) или этот инструмент (pdf) (pdf) (pdf) (pdf) (pdf) (pdf) (или этот инструмент) (pdf) (pdf) (pdf) (или этот инструмент) (pdf) (pdf) (инструкция) (pdf) (pdf) (pdf) (pdf) (инструкция) или этот инструмент (pdf) (pdf) (pdf) (pdf) (pdf) (pdf) (pdf) (pdf) (pdf) и Linux.Encoder 3 Decryptor (pdf) (или этот инструмент) (pdf)
Количество доступных декрипторов может изменяться с течением времени, мы будем регулярно обновлять информацию, проверяя веб-сайт No More Ransom!
Запустить средство дешифрования файлов совсем несложно. Многие утилиты поставляются с официальной инструкцией (в основном это решения от Emsisoft, Kaspersky Lab, Check Point или Trend Micro). Каждый процесс может немного отличаться, поэтому рекомендуется предварительно ознакомиться с руководством пользователя.
Рассмотрим процесс восстановления файлов, зашифрованных трояном-вымогателем Philadelphia:
- Выбираем один из зашифрованных файлов в системе и файл, который еще не был зашифрован. Помещает оба файла в отдельную папку на компьютере.
- Загружает средство дешифрования Philadelphia и перемещаем его в папку с нашими файлами.
- Выбираем оба файла и перетаскиваем их на иконку исполняемого файла декриптора. Инструмент запустит поиск правильных ключей для дешифрования.


- После завершения работы, вы получите ключ дешифрования для восстановления доступа ко всем заблокированным шифровальщикам файлам.

- Затем нужно принять лицензионное соглашение и выбрать варианты расшифровки. Вы можете изменить местоположение объектов и опционально сохранить зашифрованные версии.
- В конечном итоге появится сообщение об успешном восстановлении файлов.
Повторимся, что данный процесс не сработает, если для вашего конкретного экземпляра шифровальщика не существует декриптора. Так как многие пользователи предпочитают заплатить выкуп, а не искать альтернативные способы решения проблемы, даже взломанные шифровальщики активно используются киберпреступниками.
Если есть резервная копия: очистите систему и восстановите бэкап
Шаги 1 и 2 будут эффективны только при совместном использовании. Если они не помогут, то используйте следующие рекомендации.
Надеемся, что у вас есть рабочая резервная копия данных. В этом случае даже не стоит задумываться об оплате выкупа – это может привести к более серьезным последствиям, чем ущерб от первичного заражения.
Самостоятельно или делегировав задачу системному администратору, выполните полный сброс системы и восстановите ваши файлы из резервной копии. Защита от действия шифровальшиков – это важная причина использования инструментов резервного копирования и восстановления файлов.
Пользователи Windows могут использовать полный сброс системы до заводских настроек. На официальном сайте Microsoft доступны рекомендации по восстановлению зашифрованных троянами файлов.
Как определить, зашифрованы ли диски из RAID массива?
Произошел классический случай, навернулся сервер datadomain (восстановить сервер не удается, он просто не включается). Попробовал с дисков достать данные (предположительно на сервере был RAID 6), дисков 7 шт.
Вижу все физические диски, но ПО Hetman RAID Recovery, RAID не видит(
В программе вижу по каждому физическому диску, 4 локальных диска (но пространство доступно только на диске boot):
1. boot размер 502 мб
2. Диск 1 5 Гб
3. Диск 2 862 Гб
4. Диск 3 63,58 Гб
Предполагаю, что диски скорее всего, работали со включенным шифрованием, в связи с этим два вопроса:
1. Как можно понять, что это действительно так?
2. На каком уровне в подобных серверах происходит шифрование, то есть к примеру, если полностью заменить RAID контроллер (то есть такой же модели поставить), не будет ли проблем или шифрование происходит не на уровне контроллера?
Как проверить, действительно ли зашифрованный диск (SED) действительно зашифрован?
У меня Dell Precision M3800, который должен иметь зашифрованный жесткий диск. Я использую Windows 10. В окне «Управление хранилищем» диск называется «LITEONIT LMT-256L9M-41 MSATA 256GB SED».
Я установил пароль жесткого диска в BIOS Dell, но как я могу подтвердить, что содержимое диска фактически зашифровано ключом, привязанным к этому паролю? В BIOS очень неясно, что происходит на этом фронте, и я не нахожу вариантов для крипто-стирания, поэтому я не уверен, как убедиться, что содержимое безопасно.
Кроме того, кто-нибудь знает, можно ли принудительно заставить компьютер разблокировать HD после выхода из спящего режима, или мне нужно отключить компьютер, чтобы полностью «заблокировать» жесткий диск?
2 ответа 2
Один из способов проверить, зашифрован ли диск, — физически подключить его к другой машине. Либо с помощью прямого подключения SATA, либо с помощью адаптера USB-SATA. Другой компьютер должен быть в состоянии распознать диск, но не сможет прочитать его содержимое.
Что касается вашего второго вопроса, вы, скорее всего, не сможете «заблокировать» жесткий диск во время сна. Даже когда машина спит, ОС ожидает в фоновом режиме в состоянии низкого энергопотребления. Он должен иметь возможность доступа и чтения диска, чтобы выйти из сна.
АБСОЛЮТНО НЕ НУЖНО УДАЛЯТЬ ЛЮБЫЕ ДРАЙВЕРЫ ИЗ ВАШЕЙ УСТАНОВКИ, чтобы проверить, является ли это диск SED, и проверить его состояние шифрования!
Самый простой и безопасный способ проверить, является ли какой-либо из ваших дисков диском SED [Self-Encrypting Drive] и его статус шифрования, это использовать команду Linux «hdparm»:
1) из любой ОС Windows:
1.a) Загрузите файл ISO для последней 64-битной ОС Linux Mint Xfce с https://linuxmint.com и либо запишите файл ISO на DVD, либо используйте Rufus для создания загрузочного USB-файла из файла ISO.
1.b) Загрузитесь с загрузочного DVD/USB и следуйте инструкциям ниже [в Dell M3800 с установленным «паролем жесткого диска» вам все равно будет предложено ввести пароль диска при загрузке].
2) из любой недавней ОС Linux Mint [17.x, 18.x, 19.x]:
найдите свой HD/SSD: откройте окно терминала и введите команду:
BLKID
[примеры: «/dev/sda», «/dev/nvme0» и т. д.]
Запустите команду, чтобы узнать состояние вашего SSD:
sudo hdparm -I /dev /xxxx
Вам будет предложено ввести имя пользователя и пароль администратора;
Если вы загружаетесь из ISO-файла Live DVD /USB, который вы записали, имя пользователя будет строчным «mint», а пароль НЕТ — просто нажмите «enter»;
В приведенной выше команде «xxxx» — это имя вашего диска SED; Остерегайтесь опечаток: «-I» выше — это заглавная «i», а НЕ строчная буква «L» или цифра «один»
Типичный вывод команды hdparm выше для диска SED будет:
Редакция мастер-пароля: 65534
не истек: счетчик безопасности
поддерживается: улучшенное стирание
Высокий уровень безопасности
xMin для БЕЗОПАСНОСТИ. xMin для УДАЛЕННОГО УСТРОЙСТВА БЕЗОПАСНОСТИ
Идентификатор устройства WWM логического устройства: xxxxxxxxxxxxx
Контрольная сумма: правильная
Если результаты вашего накопителя аналогичны приведенным выше, ваш жесткий диск или накопитель на жестких дисках представляет собой накопитель с самошифрованием, накопитель автоматически шифрует данные на лету, и на накопителе нет ошибок.
Если команды возвращают ошибку без возврата какого-либо вывода или если первая строка вывода говорит «не поддерживается», это означает, что ваш диск НЕ является диском SED.
КСТАТИ (1): ВНИМАНИЕ от установки вашего SED «Пароль жесткого диска» через BIOS, особенно на любой LENOVO THINKPAD [некоторые из этих LENOVO THINKPAD обычно добавляют ДОПОЛНИТЕЛЬНЫЙ бит к символу выбранного вами пароля, эффективно перебивая диск SED, освобождая, что диск имеет на своем ярлыке пароль PSID «сброс к заводским настройкам», который позволяет разблокировать и перезагружать диск, но вы потеряете ВСЕ ДАННЫЕ на этом диске!].
Самый безопасный способ установить шифрование на диске SED, когда команда «hdparm» возвращает вывод «НЕ ВКЛЮЧЕНО», это снова использовать команду «hdparm», как показано ниже:
1) Разморозьте жесткий диск, остановив компьютер на несколько секунд. Когда вы возобновите состояние накопителя на «hdparm -I /dev /xxxx», появится «UNFROZEN»
2) Запустите команду для настройки шифрования SED:
sudo hdparm —user-master u —Security-set-pass ‘ПАРОЛЬ’ /dev /xxxx
где xxxx — это имя вашего SED-накопителя, а PASSWORD — пароль, который вы хотите получить (НЕ ЗАБЫВАЙТЕ ЗАКРЫТЬ СВОЙ ВЫБРАННЫЙ ПАРОЛЬ С ОДНОМИ КВАРТАЛАМИ!).
После этого просто введите команду «hdparm -I /dev /xxxx», чтобы проверить состояние вашего шифрования: она должна сказать «ENABLED».
Позже, если вы решите БЕЗОПАСНО удалить шифрование без потери ваших данных, выполните команду:
sudo hdparm —security-disable ‘ПАРОЛЬ’ /dev /xxxx
где xxxx — это имя диска, а PASSWORD — пароль, который вы выбрали для использования: состояние диска на выходе «hdparm -I /dev /xxxx» будет «SUPPORTED», «NOT ENABLED».
КСТАТИ (2): если у вас есть несколько SED с поддержкой шифрования на вашем оборудовании (как и у меня с четырьмя Samsung EVO 960 1 ТБ M.2 NVMe плюс один Seagate Momentus 4 ТБ в качестве резервной копии на моей мобильной рабочей станции Dell Precision M6800), и вы этого не делаете Если вы хотите при загрузке ввести несколько раз пароль, чтобы разблокировать ваши SED, просто выберите один и тот же пароль на всех ваших жестких дисках SED. Таким образом, вам нужно будет только один раз ввести пароль жесткого диска, и ВСЕ диски вашего SED будут разблокированы!