En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Como recuperar archivos cifrados en Windows 2000/XP/2003:

Windows XP, así como 2000 y Server 2003, basan el sistema de cifrado de archivos (EFS) en una serie de certificados y claves criptográficas que se generan automáticamente al crear una cuenta de usuario. Están estrechamente relacionadas con dicha cuenta, a la cuál, además, se asigna otra clave identificativa única. Esto significa que aunque creáramos de nuevo el mismo usuario con la misma contraseña, no nos serviría, puesto que el sistema no asimilaría este usuario con el identificador único que describe el propietario de las claves necesarias para descifrar.
En las newsgroups de Microsoft me he encontrado muchos usuarios con este problema que cifran los archivos y no importan la clave, y cuando tienen problemas y reinstalan el sistema no pueden recuperar sus archivos. El cifrado EFS se puede romper con una herramienta que cito en este post y también dejo información extra sobre el cifrado y como se importa la clave.

Advanced EFS Data Recovery:
http://www.elcomsoft.com/aefsdr.html

CÓMO: Cifrar un archivo en Windows XP:
http://support.microsoft.com/default.aspx?scid=kb;es;E307877

CÓMO: Hacer copia de seguridad de la clave privada del Sistema de archivos
de cifrado:
http://support.microsoft.com/default.aspx?scid=kb;es;E241201

CÓMO: Restaurar una clave privada del Sistema de archivos de cifrado para la
recuperación de datos cifrados:
http://support.microsoft.com/default.aspx?scid=kb;es;E242296

Procedimientos recomendados para el Sistema de archivos de cifrado:
http://support.microsoft.com/default.aspx?scid=kb;ES;223316
Como recuperar archivos cifrados en Windows 2000/XP/2003: Como recuperar archivos cifrados en Windows 2000/XP/2003: Reviewed by Álvaro Paz on miércoles, abril 12, 2006 Rating: 5

26 comentarios:

Carlos Jumbo G. dijo...

Gracias Àlvaro. Suerte y muchos éxitos para ti también.

Un cordial saludo.

Daghadma dijo...

¡Hola! ¡¡Muchas gracias por este artículo!! Ya tengo algo por lo menos por donde empezar, me estaba deseperando con estos archivos cifrados y ya le decía adios algunos trabajos que se me ocurrieron cifrar.

PD: Una pequeña guia o resumen sobre como funciona o como se usa el "Advanced EFS Data Recovery", no estaría mal! :P

Alejandro dijo...

Muy bueno, gracias.

Guzman Cabrales dijo...

Me bajé el Advanced EFS Data recovery pero no me decifra la carpeta que necesito decodificar. Reconoce los archivos encriptado pero no hace nada.

Qué puedo hacer???

Gracias

Augustine Malkavian dijo...

eeer... como borrarlos? Mi problema es éste: Al reinstalar el xp la carpeta de Mis Documentos quedó cifrada, y por más que intento hacer algo con ella, no puedo. Ni borrarla, ni moverla, ni cambiarle el nombre, y el Advanced EFS Data Recovery no reconoce que está cifrada. no puedo borrar la carpeta, porque está cifrada, no puedo descifrarla, qué hago?

Alvaro Paz dijo...

En tu caso no al reinstalar el Advanced EFS Data recovery debería encontrar. Si se puede borrar con la consola de recuperación de Windows.

Jotatr3s dijo...

hola... me encuentro con un problema bastante similar al que exponen mas arriba, el caso es el siguiente; cifre una carpeta en una version de windowsXP, al instalar otra version de XP los nombres de los archivos cifrados aparecen en color verde, tienen el peso correspondiente pero no puedo abrirlos, intente borrarlos y recuperarlos con un software de recuperacion pero me los recupera con las mismas condiciones...
si me pudieran ayudar estaria enormemente agradecido ya que tengo fotos y trabajos imposibles de recuperar de otra forma.

Irving Van Glezmorg dijo...

¿Y con qué programa se puede recuperar esa información?

jonathan dijo...

hola yo formatie una maquina q tenia xp(spak 1) y le instale el xp(spak 2). Yo tengo los cd de los 2 windows. Mi pregunta es. ¿como decifro los archivos q guarde(los guarde en una particion a parte)? ¿se puede con el programa q vos me recomendas? ¿o una vez formateado ya no se puede?
Gracias!!!!!!!

Anónimo dijo...

HOLA A TODOS
yo tambien tengo un problema similar he utilizado todo lo que esta al alcance y no he podido recuperar mi informacion que es de vital importancia,
he utilizado Advanced EFS Data Recovery y no sirve si no se tiene el certificado he formateado y recuperado la informacion y tampoco se recupera con simbolos he tratado de buscar programas para desencriptar y no lo hay por favor es de vital importancia para mi gracias si me pueden ayudar

Anónimo dijo...

Muchas gracias por la información. Resultó que por un daño en tarjeta madre, tuve que reinstalar, y aunque mis archivos n se perdieron, el problema eran algunos cifrados (no muy importantes, pero sirvieron bien para evaluar el asunto entero). Los crtificados aún estaban en el viejo disco y las recuperé fácilmente. Ahora acabo ya de hacer copia de los certificados actuales por puritita precaución. jeje

Muy útil. Saludos.

JimmyBSOD

Anónimo dijo...

yo quiero saber como recuperar los archivos de mi usuario que tenia clave y luego formatearon el disco
y no los puedo recuperar ¿que hago?

Anónimo dijo...

Pues yo tengo un disco duro externo que ha sido encriptado con EFS en un PC al que trato de leer los archivos ahora, y no hay manera de acceder

Si hago eso que dices de borrar los archivos y recuperarlos con otra herramienta, los abre pero son ilegibles, con lo que da lo mismo.

¿Alguna solución?

Daniel dijo...

Muchas gracias Alvaro, el equipo de un cliente, traía muchos archivos con este problema y no me era posible respaldarlos, no podia abrirlos ni copiarlos; gracias a tu recomendación he logrado solucionar el problema al 100% con el Advanced EFS Data Recovery.

Saludos cordiales

Phoenix

Bduel dijo...

Yo sufrí el típico problema con el cifrado... tenía un archivo cifrado en una partición de documentos, le apliqué formato al sistema operativo y Oh! sorpresa! ya no pude abrir el archivo.
Sin embargo, con el programa Get Data Back, pude recuperar todo un directorio cifrado.
El programa lo puede encontrar en http://www.intercambiosvirtuales.org/2007/10/get-data-back-ntfs.html
Incluye serial!

Anónimo dijo...

Eres el mejor.
Gracias por tu ayuda.
Me recuperó todo correctamente y desde linux lo volví a poner en su lugar.

Catalina dijo...

gURÙ, HOLA!
La verdad leí tu artículo y no entendí mucho u___u
tengo pena porque acabo de "cifrar" y además "ocultar" unas fotos! y no tengo idea como recuperarlas! y necesito hacerlo
Son fotos muy importantes para mi... T____T

TÚ como buen Gurù, podrías ayudarme!¿¿?¿ Espero tu respuesta

Alvaro Paz dijo...

Hola Catalina
Plantea tu duda con más detalles en mi correo electrónico que figura en el blog. Cuando me refiero a más detalles: si has formateado el disco, reinstalado Windows, que mensajes tienes al acceder a los archivos.
Un saludo

Anónimo dijo...

toda la informacion para entrar a una carpeta encriptada por windows XP esta en los certificados del windows donde fue encriptada.
por otro lado usando cualquier programa que rompa las cadenas del formato, por lo general hace que se rompa el encrptado dejando acceder a la mayoria de los archivos.
este error es muy comun cuando se hace un Backup de sistema con programas a tal fin, como los que trae por ejemplo XP.
recomiendo usar el Power Data Recovery que recupera archivos borrados, pero en este caso lo vamos a usar para que lea nuestros archivos y los regenere en otra carpeta y asi recuperaran todos sus archivos!.
espero les ayude.
SALUDOS !

Anónimo dijo...

Bduel dijo...
Yo sufrí el típico problema con el cifrado... tenía un archivo cifrado en una partición de documentos, le apliqué formato al sistema operativo y Oh! sorpresa! ya no pude abrir el archivo.
Sin embargo, con el programa Get Data Back, pude recuperar todo un directorio cifrado.
El programa lo puede encontrar en http://www.intercambiosvirtuales.org/2007/10/get-data-back-ntfs.html
Incluye serial!


te felicitoo viejaa, lo mejorcitoo q he encontrado en la web, c ese programita pude salvar mi disco D saludoss, y felicitaciones.

Anónimo dijo...

Hola a todos yo tengo ese problema y estoy desesperado.todos los datos de la particion D: estan cifrados.He formateado e instalado el windows / en la otra particion y he perdido todo.el enlace de get data back no funciona quien me puede echar una mano??

Pirinana dijo...

No sirve. Encripté en WXP y no tengo claves ni certificado.

Kevin dijo...

Muxas Gracias Espero k m Sirva Pues necesito mi informacion T_T

Empresas de Seguridad dijo...

Gracia por la informacion, a un amigo le puede interesar, ya que es usuario de xp.
camaras de seguridad

Markspicologyc dijo...

Muchas gracias por el dato, mi problema es que habia reinstalado encima el Xp (sin formatear)pero no recordaba que tenia algunos archivos importantes cifrados, una vez reinstalado, vi que no había forma de solucionarlo, crea dos estructuras de directorios para cada usuario y windows, recuperé los archivos de certificado de las carpetas
\Documents and Settings\nombre_de_usuario\Datos de programa\Microsoft\SystemCertificates\My\Certificates
y las claves privadas en \Documents and Settings\nombre_de_usuario\Datos de programa\Microsoft\Crypto\RSA, las copie en la carpeta del nuevo usuario y las incluí en el almacen raíz de certificados de confianza, sin resultado positivo. Por desgracia el Advanced EFS Data Recovery me indica que 1 de 8 claves encontradas a sido desencriptada, al pulsar siguiente para seguir buscando lanza un error, seguido de esto: "OS: Windows XP Professional, SP3
CPU: GenuineIntel, Intel Pentium 4, MMX @ 0 MHz

Module name: X:\Archivos de programa\ElcomSoft\Advanced EFS Data Recovery\aefsdr.exe

Application data:
VmVyc2lvbjogV2tCSFJGQkhWbGtwSlYweUt5YzhPaVVwT2lZck8xRWd......==. Este dato no se utilizarlo, si alguien pudiera ayudarme se lo agradecería mucho porque son archivos muy valiosos, uno de ellos es un libro que llevo escribiendo varios años :-(. Voy a intentarlo con los aportes de los compañeros "GetDataBack For NTFS" y "Power Data Recovery". Gracias de nuevo y saludos.

Markspicologyc dijo...

He probado ambos programas GetDataBack y Power Data Recovery, y no he conseguido más que recuperar los archivos pero dañados. Tengo windows XP profesional y parece ser que no viene con el Agente de recuperación de datos activo porque esa función la realiza el usuario Administrador. En las carpetas del usuario Administrador antiguo tampoco hay certificados con extensión .pfx ni otra extensión válida. Al intentar agregar los certificados que tengo rescatados de las carpetas que he podido rescatar me da error de atributos. con el comando xcacls he asignado permisos al administrador para todos los archivos y atributos que quiero tratar con el mismo resultado. No sé si se me escapa algo, o si puede haber alguna forma de "engañar" a Win para que me deje descifrar los archivos. Agradecería mucho cualquier ayuda. Un saludo.

Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.