Восстановление данных с поврежденного диска, зашифрованного BitLocker

Технология шифрования BitLocker Drive Encryption позволяет защитить данные на носителе с помощью шифрования содержимое логических разделов (дисков). В этой статье, мы рассмотрим, как два способа извлечь данные с раздела, зашифрованного BitLocker. Первый способ предполагает штатную расшифровку защищенного раздела BitLocker из Windows. Второй предполагает, что файловая система зашифрованного диска повреждена (повреждена область диск, в которой BitLocker хранит свои метаданные) или не загружается Windows.

Для восстановления данных с диска, зашифрованного BitLocker у вас должен быть бы хотя один из элементов системы защиты BitLocker:

• Пароль BitLocker (который вы вводите в графическом интерфейсе Windows для разблокировки зашифрованного диска);
• Ключ восстановления BitLocker;
• Ключ запуска системы (Startup key — .bek) – ключ на USB флешке, который позволяет автоматически расшифровывать загрузочный раздел, не требуя ввода пароля от пользователя.

Ключ восстановления BitLocker (BitLocker Recovery Key) представляет собой уникальную последовательность из 48 символов. Ключ восстановления генерируется перед шифрованием раздела Bitlocker. Вы можете распечатать ключа восстановления, сохранить его в виде текстового файла на внешний носитель, или сохранить в свою учетную запись Microsoft.

Ключ восстановления Bitlocker можно найти в своем аккаунте на сайте Microsoft по ссылке https://onedrive.live.com/recoverykey .

Для компьютеров, присоединенных в домен Active Directory, администратор может с помощью GPO настроить автоматическое сохранение ключей восстановлений BitLocker в учетные записи компьютеров в AD.

Как расшифровать диск, защищенный BitLocker в Windows?

Проще всего разблокировать зашифрованный BitLocker диск из графического интерфейса Windows.

Подключите диск к компьютеру и перейдите в раздел Панель управления -> Система и безопасность -> Шифрование диска BitLocker

В списке дисков выберите зашифрованный BitLocker диск и нажмите кнопку Разблокировать диск.

В зависимости от способа зажиты укажите пароль, или подключите смарт-карту. Если вы не знаете пароль, вы можете расшифровать том с помощью ключа восстановления. Выберите Дополнительные параметры —> Введите ключ восстановления.

Если у вас несколько ключей восстановления, вы можете определить нужный с помощью идентификатора ключа, который отображается в окне. Если вы указали правильный ключ, диск будет разблокирован, и вы получите доступ к данным на нем.

Также вы можете отключить защиту BitLocker для конкретного тома с помощью PowerShell:

Disable-BitLocker -MountPoint "C:"

Дождитесь окончания дешифрования раздела. Проверьте, что диск расшифрован:

Get-BitlockerVolume -MountPoint "C:"

VolumeStatus: FullyDecrypted

Как разблокировать зашифрованный Bitlocker диск, если Windows не загружается

Если ваш системный диск зашифрован с помощью Bitlocker и ваша Windows перестала загружаться (синий экран смерти, зависает при загрузке, некорректные обновления и т.д.), вы можете расшифровать диск в среде восстановления Windows (Windows RE).

Среда восстановления WinRE должна автоматически запуститься, если если 3 раза подряд Windows не смогла загрузиться. Также вы можете загрузить ваш компьютер с любой установочной флешки с Windows, диска восстановления MS DaRT или другого LiveCD. Если вы используете установочный диск с Windows, нажмите Shift+F10 на этапе выбора языка установки.

Должна открыться командная строка WinPE.

Нужно найти зашифрованный диск. Чтобы вывести информацию по всем дискам, выполните:

manage-bde -status

В результат команды у одного (или нескольких) из дисков должен содержаться такой текст: “BitLocker Drive Encryption: Volume D”. Значит у вас зашифрован диск D.

Разблокируем его, выполнив команду:

manage-bde -unlock D: -pw

Команда попросит указать пароль BitLocker:

Enter the password to unlock this volume:

Если пароль правильный, появится сообщение:

The password successfully unlocked volume D:.

Если вы не знаете пароль BitLocker, можно разблокировать том с помощью ключа восстановления:

manage-bde -unlock D: -RecoveryKey J:\1234567...987ABCDE4564.bek

Ваш диск разблокирован, и вы можете приступать к восстановлению загрузчика Windows или исправлению других проблем.

Если вы хотите расшифровать диск и полностью отключить защиту диска BitLocker, выполните:

manage-bde -protectors -disable D:

Выполните перезагрузку компьютера. Теперь загрузочный диск не зашифрован.

Используем Repair-BDE для восстановления данных с поврежденного тома BitLocker

Для восстановления данных на поврежденном томе BitLocker нужно использовать консольную утилиту Repair-bde (BitLocker Repair Tool).

Попробуйте расшифровать извлечь данные на новый диск с помощью пароля BitLocker. Утилита repair-bde позволяет извлечь данные с поврежденного тома на новый раздел. Обратите внимание, что раздел целевого диска должен быть больше, чем раздел исходного тома с BitLocker, а также что существующие данные на целевом томе будут удалены (!).

1. Откройте командную строку с правами администратора:
2. Выполните команду:
   repair-bde D: E: -pw –Force
   , где D: — диск с данными Bitlocker, E: — пустой диск (раздел) на который необходимо извлечь расшифрованные данные;
3. Укажите пароль Bitlocker (который пользователь вводит в графическом интерфейсе Windows для получения доступа к зашифрованному тому).

Утилита Repair-bde попытается восстановить критические метаданные с вашего зашифрованного тома и использовать их для расшифровки.

Если данные были успешно расшифрованы, в логе появится надпись:

Decrypting: 100 completed
Finished decryption.
ACTION REQUIRED: run chkdsk E: /f before viewing decrypted data

Если вы не знаете пароль BitLocker, можно расшифровать том с помощью ключ восстановления или ключа загрузки системы (если зашифрован системный раздел).

Запустите восстановление данных с помощью ключа восстановления

repair-bde D: E: -rp 288409-515086-417208-646712-162954-590172-127512-667568 –Force

Если Bitlocker используется для шифрования системного раздела Windows, а для загрузки системы используется специальный ключ запуска на USB флешке, зашифрованный том можно расшифровать так:

repair-bde D: E: -rk I:\3F558473-943D-4330-8449-62C36BA53345.BEK –Force

где, файл 3F558473-943D-4330-8449-62C36BA53345.BEK – ключ запуска шифрования диска BitLocker на USB флешке I:\ (по умолчанию этот файл скрыт).

После разблокировки тома нужно проверить проверку целевого диска с помощью команды:
chkdsk E: /f

Как открыть зашифрованный BitLocker диск в Linux?

Вы можете открыть зашифрованный BitLocker диск и из-под Linux. Для этого понадобится утилита DisLocker и ключ восстановления BitLocker.

становите утилиту с помощью вашего пакетоного менеджера. В Ubuntu/Debian выполните команду:

$ sudo apt-get install dislocker

Перейдите в каталог mnt и создайте две директории (для зашифрованного и расшифрованного раздела):
$ cd /mnt
$ mkdir encrypted
$ mkdir decrypted

Найдите зашифрованный раздел (команда fdisk –l ) и расшифруйте его с помощью пароля BitLocker:

$ sudo dislocker -V /dev/sdb1 -u -- /mnt/encrypted

Если у вас есть ключ восстановления, используйте такую команду:

$ sudo dislocker -r -V /dev/sdb1 -p your_bitlocker_recovery_key /mnt/encrypted

Утилита DisLocker используется FUSE драйвер (Filesystem in Userspace) для доступа к зашифрованному разделу в режеме read-only.

В целевом каталоге появится файл dislocker-file. Этот файл содержит ваш NTFS раздел с данными.

Вы можете смонтировать раздел, чтобы увидеть все файлы на нем:

$ sudo mount -o loop /mnt/encrypted/dislocker-file /mnt/ decrypted