Monica352323 Posted 2 hours ago Report Posted 2 hours ago Salut! Am un laptop infectat cu un ransomware care pare să fi activat BitLocker pe toate partițiile. Cere o cheie de decriptare. Există vreo metodă de bypass sau de recuperare fără să plătesc? 💬 Răspuns 1 – TechGuru Din păcate, când ransomware activează BitLocker, nu folosește cheia ta de recuperare, ci generează un key protector nou și înlocuiește tot ce era în TPM. Asta înseamnă: TPM-ul nu mai conține cheia ta originală BitLocker nu poate fi “spart” Algoritmul AES folosit este imposibil de decriptat prin brute-force Nu există bypass tehnic dacă atacatorul a setat protector nou. 💬 Răspuns 2 – CyberMedic Există câteva lucruri pe care le poți verifica TOTUȘI: ✔️ 1. Caută automatele de backup ale cheii BitLocker În cazuri rare, ransomware-ul nu șterge toate copiile. Verifică: contul Microsoft → https: aka.ms/aadrecoverykey Azure AD (dacă e laptop de firmă) Domain Controller (în mediu enterprise) Stick USB pe care poate ai salvat cândva cheile 💬 Răspuns 3 – DigitalForensix ✔️ 2. Verifică Shadow Copies – DAR… Majoritatea ransomware-urilor rulează: vssadmin delete shadows /all /quiet … dar unele eșuează. Poți încerca cu: vssadmin list shadows Dacă există shadow copies → poți recupera fișierele înainte de criptare. 💬 Răspuns 4 – RootAccess ✔️ 3. Live Linux + carving Chiar dacă partiția e criptată, uneori: ransomware-ul reinitializează BitLocker dar nu apucă să cripteze tot SSD-ul sau lasă date în unallocated space Poți încerca: Autopsy FTK Imager PhotoRec / TestDisk Nu vei recupera tot, dar uneori scoți documente nefragmentate. 💬 Răspuns 5 – SecResearcher ✔️ 4. Dacă ransomware-ul este cunoscut, uneori există decryptor Pentru anumite familii de ransomware, cercetătorii reușesc să recupereze cheile sau să creeze decryptor. Verifică pe NoMoreRansom.org (Kaspersky + Europol). Sunt sute de decryptor-e gratuite. Quote
