Удалилась и зашифровалась домашняя папка

[Mirzinf]

Удалилась и зашифровалась домашняя папка /home после того как внезапно выключился ноутбук (села батарея) . По размеру нашёл домашнюю папку в trash и она зашифрована ercryptfs.
Это я узнал после того , когда включил ноутбук, перечитало входить в учётку, зашёл на рабочий стол через tty , startx.
Помогите расшифровать. Последовательность команд. Очень важные данные там.

[rogoznik]

Помогите расшифровать.

без ключа никак

[Mirzinf]

Ключ я возможно знаю. И даже без ключа зная пароль это восстанавливается. Лет 3-5 назад сталкивался с подобным, ключ генерится из пароля. В общем не в этом суть. Суть как пошагово , какими командами достать Файлы, а лучше восстановить систему. Может кто сталкивался.

[slant]

Этого вам никто не скажет. Т.к. последовательность команд зависит от того что реально накручено и случилось.
Вы сейчас, образно говоря, позвонили врачу и спросили: "у меня тут в животе что-то болит, дайте последовательность действий, я операцию сделаю".

[demonlibra]

Удалилась и зашифровалась домашняя папка /home после того как внезапно выключился ноутбук (села батарея)

Разве такое возможно?
Шифрование занимает время и не может произойти мгновенно.

[Mirzinf]

И что мне делать? Какой вывод инфы интересует специалиста?

[demonlibra]

Может надо понять, что произошло на самом деле.
Мой глючный ноутбук уже больше 3х лет периодически внезапно вырубается. И ничего само собой не шифровалось.

[Whowka]

Mirzinf, Ну, как минимум, версия ОС. Там вверху темы, в красном поле, написано.

[slant]

Шифрование занимает время и не может произойти мгновенно.

По факту, данные на диске вообще никогда не расшифровываются - это происходит уже в памяти "на ходу", через ключ. Выключение что-то поломало в этом механизме (иначе бы машина просто загрузилась заново, возможно запросив ключ по дороге), либо повредило сам зашифрованный контейнер. Если смотреть со стороны - эффект примерно такой.

Какой вывод инфы интересует специалиста?

Весь. Все что есть, все логи. А лучше - физический доступ к машине.

И что мне делать?

Отнести машину к специалисту по восстановлению данных, особенно - если информация ценная. Т.к. в этом случае первым делом нужно снять побайтовую копию с диска, чтобы на случай проблем иметь исходное состояние для повторных попыток. Т.е. нужен еще один как минимум такой же по размеру диск, и знание - как это делается корректно. А потом - лезть в логи, читать, и разбираться что случилось.

[Mirzinf]

Какие Команды написать? Для вывода точной инфы? Могу все сфоткаться и выложить. Тут сижу с тела.
На ноуте могу ssh поднять.
По сути снял копию с шифрованных файлов и уже думаю сносить и ставить убунту и потом расшифровывать. Но если есть шанс починить. Норм загрузится в свою домашнюю папку готов материально отблагодарить.

[Mirzinf]

[slant]

Если действительно зашифрован только домашний раздел - можете вот это попробовать: https://goodhack.net.ua/archives/514

P.s. ссылка в предыдущем посте не грузится.

[demonlibra]

Не по теме

Mirzinf, будь моя воля, я бы за такое банил.
1. Есть такая штука, Printscreen называется.
2. Если нет вариантов, то фото надо сжимать. Вы же текст показываете, а не пиксели экрана.

[Mirzinf]

Благодарю, по логике должно получиться. Помню что делал подобное, но не помню как))

[Mirzinf]

В итоге переустановил систему. Предварительно скачав на внешний диск зашифрованный раздел. Новая система с поедете Логином и паролем. Командой ecryptfs-recover-private не получается расшифровать. Видимо я не знаю моунт фразу . Как. Зная логин и пароль, сгенерировать правильную mountphrase?

[rogoznik]

Как. Зная логин и пароль, сгенерировать правильную mountphrase?

Никак. При генерации используются алгоритмы хеширования. После переустановки системы уже не получишь тот же хеш

[Mirzinf]

Вы уж извините меня такого нуба. Но я сталкивался примерно с похожей ситуацией лет 5 назад. Несколько бессонных дней страданий и гугла инета не имея фразы я как то имея только пароль извлёк шифрованные данные. Сейчас ужк не помню и не поеду найти тот манул и Команды и не так свеж как тогда)) Поэтому прошу отписаться кто Реально разбирается. Сразу закину на Сбербанк или бтц сто баксов кто поможет в знак благодарности.

Система точно такая же, тот же Минь 19. Тот же логин и пароль. Должно быть решение, уверен. И должны быть люди мозговитее меня.

[demonlibra]

зашифровалась домашняя папка /home

Предварительно скачав на внешний диск зашифрованный раздел

так всё-таки каталог зашифрован или раздел?

[Mirzinf]

Каталог с файлами зашифрован

[demonlibra]

Восстановление «mount passphrase» в другой системе

Код: Выделить всё

sudo ecryptfs-unwrap-passphrase /media/newdisk/home/.ecryptfs/your_username/.ecryptfs/wrapped-passphrase
Passphrase: тут введите ваш «login password»

Вместо /media/newdisk необходимо указать точку монтирования раздела с каталогом зашифрованным при помощи eCryptfs.
Вместо your_username имя пользователя в системе, где находился зашифрованный каталог.

Я по этой инструкции всё делал: https://goodhack.net.ua/archives/514

Доступ к зашифрованной домашней директории в Ubuntu на другом ПК

1. Установка необходимых программ и подключение диска.

sudo apt install ecryptfs-utils

Затем подключим диск с зашифрованной домашней директорией к другому компьютеру, например, через USB переходник.
Создадим новую директорию и примонтируем в неё раздел с домашней директорией:

Код: Выделить всё

mkdir /media/newdisk; 
mount /dev/sdb2 /media/newdisk

Если у вас настроено автомонтирование USB устройств, то путь к разделу с файлами может иметь вид, похожий на /media/disk-1 или /media/f4dc6dc1-52a1-488e в зависимости от настроек.

Также создадим директорию, куда мы будем монтировать зашифрованные файлы:

Код: Выделить всё

mkdir /media/olddisk

Чтобы получить доступ к зашифрованным файлам на другом компьютере,
вам необходимо иметь «mount passphrase» — пароль монтирования зашифрованной домашней директории,
который выдаётся сразу после установки системы и должен быть у вас записан.
Также его можно узнать подключив обратно в старую систему диск и выполнив команду:

Код: Выделить всё

ecrypt-unwrap-passphrase

Если пароль «mount passphrase» у вас есть, можете переходить к разделу 3.
Если же вы забыли его записать, то этот пароль можно восстановить при помощи пароля, который вы использовали для входа в систему, так называемый «login password».


2. Восстановление пароля «mount passphrase».

Код: Выделить всё

sudo ecryptfs-unwrap-passphrase /media/newdisk/home/.ecryptfs/your_username/.ecryptfs/wrapped-passphrase
Passphrase: тут введите ваш «login password»

3. Монтирование зашифрованной домашней директории.

Нам понадобится специальная сигнатура, которая будет использоваться для дешифрации имён файлов.
Чтобы её создать, введите:

Код: Выделить всё

sudo ecryptfs-add-passphrase --fnek
Passphrase: «mount passphrase» полученный выше

Inserted auth tok with sig [a1bf310167c695ff] into the user session keyring
Inserted auth tok with sig [6f7a931eeb9b3e4c] into the user session keyring

Сигнатура которая нам нужна и которую мы будем вводить ниже, находится во вторых квадратных скобках: 6f7a931eeb9b3e4c

Теперь у нас есть все необходимые данные и мы может монтировать зашифрованную домашнюю директорию:

Код: Выделить всё

sudo mount -t ecryptfs /media/newdisk/home/.ecryptfs/your_username/.Private/ /media/olddisk/
Passphrase: «mount passphrase»

Select cipher:
1) aes: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
2) blowfish: blocksize = 16; min keysize = 16; max keysize = 56 (not loaded)
3) des3_ede: blocksize = 8; min keysize = 24; max keysize = 24 (not loaded)
4) twofish: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
5) cast6: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
6) cast5: blocksize = 8; min keysize = 5; max keysize = 16 (not loaded)
Selection [aes]: aes

Select key bytes:
1) 16
2) 32
3) 24
Selection [16]: 16

Enable plaintext passthrough (y/n) [n]: n
Enable filename encryption (y/n) [n]: y
Filename Encryption Key (FNEK) Signature [a1bf310167c695ff]:6f7a931eeb9b3e4c
Attempting to mount with the following options:
ecryptfs_unlink_sigs
ecryptfs_fnek_sig=6f7a931eeb9b3e4c
ecryptfs_key_bytes=16
ecryptfs_cipher=aes
ecryptfs_sig=a1bf310167c695ff
Mounted eCryptfs

WARNING: Based on the contents of [/root/.ecryptfs/sig-cache.txt],
it looks like you have never mounted with this key before.
This could mean that you have typed your passphrase wrong.

Would you like to proceed with the mount (yes/no)? : yes

Would you like to append sig [9b176113c137dac4] to [/root/.ecryptfs/sig-cache.txt] in order to avoid this warning in the future (yes/no)? : no

Not adding sig to user sig cache file; continuing with mount.
Mounted eCryptfs


Проверяем, что всё в порядке и можем приступать к работе с файлами:

Код: Выделить всё

ls /media/olddisk

Как-то так )