Maestro de cifrado de carpetas
Propietario, por favor no se preocupe. Es inútil estar ansioso ahora. ¡El asunto ya sucedió, es mejor resolverlo lo antes posible!
Señor, de hecho, muchas personas han utilizado este <High-Strength Folder Encryption Master 9000> para cifrar archivos de trabajo importantes en movimiento, pero al descifrarlos, aparece un mensaje de error. En Internet, muchos internautas también tuvieron la misma situación, pero luego descubrí que este software de cifrado de grado de defensa era realmente una mentira.
El principio del cifrado de carpetas de alta resistencia master 9000 es:
1. Mueva la carpeta a una carpeta especial reciclada en el sistema Windows, es decir, la papelera de reciclaje.
2. Utilice la modificación de la asociación de registro para cambiar el modo de visualización de los archivos en la Papelera de reciclaje de Windows, lo que significa que en realidad solo realiza una operación de "corte", por lo que tiene una velocidad tan alta.
Simplemente use el comando DOS. dir/a primero muestra todos los archivos y luego coloca los archivos ocultos en la carpeta con un nombre de archivo muy complicado. Dado que no existe un cifrado real, es posible acceder sin él. una contraseña. ;
El método es ir a la carpeta .\recycled en un entorno DOS y buscarla. Si eso no funciona, use winRAR para comprimir el archivo y luego descomprímalo. Si desea ver su archivo en una ventana, use: attrib Nombre de archivo -h -s -r Primero elimine los atributos ocultos del archivo. Si aún no funciona, use winRAR para comprimir el archivo y luego descomprímalo. De esta manera, ¡está bien!
Espero que estés usando un cifrado relámpago o oculto, de lo contrario será difícil. Después de todo, si se trata de un archivo cifrado, ¡será muy problemático resolverlo!
High-Strength Encryption Master es el software de cifrado más criticado en Internet. Para resolver el problema causado por el cartel que utiliza este software de cifrado, aquí hay un proceso de descifrado aproximado. ¡Espero que sea útil para aquellos que han olvidado su contraseña!
1. Cifrado local:
\Recycled\ S-1-5-21-1060284298-811497611-11778920086-500\INFO2\Di1\com1.{21ec2020-3aea-1069-a2dd-08002b30309d}\
Un similar [ 6B6F6B6F?] o una carpeta con otros nombres Todos los archivos en la carpeta antes del cifrado se colocan en esta carpeta [6B6F6B6F?] y luego se configura una carpeta falsa en la ubicación cifrada original para lograr el "cifrado".
Método de crack:
Utilice el rastreador de carpetas [FolderSniffer] v3.51 (versión verde) para ingresar a esta carpeta y podrá copiar, cortar y otras operaciones en los archivos que contiene (cambie el nombre). cada directorio de INFO2\ antes de eliminarlo, de lo contrario la eliminación saldrá mal).
2. Cifrado oculto:
Igual que el cifrado local, excepto que la carpeta original se elimina y los archivos de la carpeta se mueven a
\Recycled\ Directorio S-1-5-21-1060284298-811497611-11778920086-500\INFO2\Di1\com1.{21ec2020-3aea-1069-a2dd-08002b30309d}\[6B6F6B6F?].
3. Cifrado móvil:
Cifre la carpeta cifrada original y genere tres archivos en ella: Thumbs.dn,!Decryption.exe y Desktop.ini, se utiliza Desktop. para manejar la visualización de los iconos de las carpetas. Decrypt Encryption.exe es un programa de bombardeo que se puede ejecutar desde el programa principal; Thumbs.dn Aquí es donde se almacenaban los archivos de la carpeta original antes del cifrado.
Solo puede ver nada cuando hace doble clic para abrirlo (en winXP, no lo he probado en otros sistemas. Use la herramienta de compresión winRAR para comprimirlo, abra el paquete comprimido generado y verá desktop.ini, 117789687LIST). .mem y 117789687. , 1.mem, 1.mem, 2.mem, 3.mem,... x.mem, los siguientes archivos .mem son los archivos en la carpeta original antes del cifrado si hay pocos archivos. , recuerde qué tipo eran antes del cifrado. El archivo se puede descifrar cambiando directamente el nombre del sufijo *.mem en el paquete comprimido winRAR (por ejemplo, si el archivo original es 1.doc, cambie 1.mem a 1.doc. ) y descomprimiéndolo. Si no recuerda el tipo de archivo original, puede descargar un rastreador de carpetas [FolderSniffer] v1.3 y probar la función de prueba de tipo de archivo que contiene.
Cuando utilice FinalData para escanear la partición del disco donde están ocultos los archivos cifrados, los archivos cifrados aparecerán en sus ubicaciones originales. Copie y recupere los archivos cifrados en FinalData en otras particiones para completar el descifrado. Después de usar el cifrado nativo, los archivos cifrados se moverán a una carpeta especial en la Papelera de reciclaje. El nombre de la carpeta es muy extraño y su ruta suele ser "4D36E96A-E325-11CE-BFC1-08002BE10318.\$$$\ com1. {21EC2020-3AEA-1069-A2DD-08002B30309D}\nombre de carpeta" y así sucesivamente. Dado que la carpeta está oculta, no se puede ver en la Papelera de reciclaje. Pero cuando abres la Papelera de reciclaje en FinalData, puedes ver este directorio extraño y la carpeta cifrada está oculta en él.
Además, el "Maestro de cifrado de alta resistencia" afirma "garantizar completamente la seguridad de los archivos cifrados y los datos cifrados no se eliminarán ni se perderán". De hecho, en circunstancias normales, al eliminar un archivo .mem cifrado, aparecerá el mensaje de error "El archivo está en uso". Pero siempre que finalice el proceso "svohost.exe", puede eliminar los llamados archivos confidenciales protegidos por seguridad. El principio del llamado software de cifrado es el mismo, es decir, aprovecha el error de carpeta del sistema Windows, lo que incluso puede considerarse un pequeño truco. Primero, el software de cifrado transferirá los archivos que deben cifrarse a una carpeta protegida por el sistema y luego utilizará métodos de programación para crear una carpeta que contenga caracteres especiales. Esta carpeta se puede encontrar tanto en "Explorador" como en "Símbolo del sistema". Es difícil de abrir, pero el hecho de que sea difícil de abrir no significa que no se pueda abrir. Siempre que los usuarios conozcan esta técnica, pueden encontrar fácilmente los archivos "cifrados" y el contenido que contienen se guarda en texto sin cifrar.
Error de carpeta en el sistema Windows
El sistema Windows restringe los caracteres que ingresamos al crear una carpeta, de modo que solo podemos ingresar caracteres comunes. Sin embargo, esta restricción sólo existe en el "Explorador" y en el "Símbolo del sistema" puede superar estas restricciones y crear algunos archivos y carpetas que contengan caracteres o rutas especiales. Estos archivos y carpetas no se pueden abrir en el Explorador ni eliminar, y solo se pueden operar en el símbolo del sistema. Hagamos dos pequeños experimentos: Experimento 1: Ejecute el "Símbolo del sistema" e ingrese "md c:\test..\". Después de presionar Enter, aparecerá un archivo llamado "test. ", en el "Explorador", no podemos realizar ninguna operación. en esta carpeta y aparecerá un cuadro de advertencia de error después de hacer doble clic en él. Si desea abrir esta carpeta, simplemente ingrese el comando "cd c:\test..\" en el "Símbolo del sistema". Para eliminar, utilice el comando "rd c:\test..\".
Utilice Filemon, una herramienta de monitoreo de carpetas, para monitorear el proceso de cifrado de archivos mediante un maestro de cifrado de alta resistencia.
Primero instale High-Strength Encryption Master y ejecútelo una vez completada la instalación. Habrá un proceso adicional llamado "SVOHOST.EXE" en el "Administrador de tareas", que desempeñará la función de cifrado.
Luego creamos una nueva carpeta de prueba en el directorio raíz de la unidad d y creamos un nuevo archivo de texto hack.txt en esta carpeta con el contenido 123456.
Dado que el sistema realizará muchas operaciones en la unidad c cuando se esté ejecutando, se generará una gran cantidad de datos inútiles al monitorear con Filemon, así que elija otra letra de unidad al realizar la prueba.
Ejecute Filemon, haga clic en el menú "Volumen", seleccione "Volumen D", luego haga clic en el botón "Filtro" en la barra de herramientas, ingrese "SVOHOST.EXE" en la columna Contiene, para que pueda monitorear el operaciones del maestro de cifrado de alta resistencia en la unidad D.
Haga clic derecho en la carpeta d:\test, seleccione "Cifrado de alta resistencia", ingrese una contraseña en la ventana emergente "Cifrado de carpeta" y seleccione "Cifrado local" en las opciones de cifrado. y luego haga clic en el botón "Cifrar", para que la carpeta de prueba esté cifrada y se agregará un candado al icono de la carpeta. Utilice la carpeta oculta predeterminada del sistema
Volvemos a Filemon y podemos ver que se han monitoreado muchos datos en Filemon. Primero echemos un vistazo a uno de los datos. El maestro de cifrado de alta resistencia accedió a la ruta "D:\RECYCLER\S-1-5-21-1060284298-811497611-11778920086-500\". RECYCLER, es un archivo de papelera de reciclaje creado por el sistema de arquitectura NT para cada usuario en el sistema. La cadena de valores detrás de él es el valor SID de la cuenta. Diferentes usuarios tienen diferentes valores SID. cuenta Si un maestro de cifrado de alta seguridad realiza el cifrado, la ruta será diferente a la anterior. La carpeta RECYCLER no se muestra en el administrador de recursos de forma predeterminada. Necesitamos hacer clic en "Herramientas" → "Opciones de carpeta" en el explorador, seleccionar "Mostrar todos los archivos y carpetas" y quitar el gancho delante de "Ocultar archivos protegidos del sistema operativo" para mostrarlo.
Usando el error de carpeta
Continúa analizando los datos capturados por Filemon, "D:\RECYCLER\S-1-5-21-1060284298-811497611 -11778920086-500\INFO2 \Di1 \com1.{21ec20 20-3aea-1069-a2dd-08002b30309d}\74657374 ?\", en este punto, el maestro de cifrado de alta resistencia creó INFO2, Di1, com1.{21ec2020-3aea-1069-a2dd- 08002b30309d } y 74657374? Cuatro carpetas, estas carpetas obviamente explotan el error de carpeta que mencionamos anteriormente. Busque el archivo cifrado
Ingrese al directorio "D:\RECYCLER\S-1-5-21-1060284 298-811497611-11778920086-500\" y descubra que no hay ninguna carpeta INFO2 aquí, por lo que esto ¿De dónde surgió la larga lista de caminos? De hecho, la carpeta INFO2 existe, pero está oculta. Necesitamos usar herramientas para abrir la carpeta.
Aquí usaremos un software de administración de archivos "total Commander". Después de ejecutarlo, haga clic en el menú "Configuración" → "Opciones" → "Pantalla" y seleccione "Mostrar sistema/archivos ocultos". Después de usarlo para abrir la carpeta anterior, puede ver que la carpeta INFO2 existe. También hay un archivo desktop.ini en el mismo directorio. La función de este archivo es ocultar la carpeta INFO2.
Después de abrir el archivo 74657374? con Total Commander, puede encontrar hack.txt y el contenido que contiene sigue siendo 123456. Se puede ver que el maestro de cifrado de alta seguridad no cifró el contenido del archivo, solo lo ocultó. Las consecuencias de esto se pueden imaginar. Siempre que el hacker utilice Total Commander para abrir la carpeta correspondiente, todos los archivos serán visibles de un vistazo.
La carpeta RECYCLER generalmente almacena algunos archivos antiguos. Si utiliza software de optimización para optimizar el sistema, es probable que el contenido de esta carpeta se borre y nuestros archivos importantes desaparezcan para siempre.
¡Lea atentamente la respuesta después de leerla!