Accidentially overwritten a complete encrypted Verycrypt partition —...
Open source disk encryption with strong security for the Paranoid
Brought to you by:
idrassi
Menu
▾
▴
Hello folks,
I am very nervous. Yesterday I had within a very stressy situation where I wanted to clone several SD cards for an image installation process accidentally choosen my veracrypt partition as the target partition for the image clone program.
After realizing my failure I soon stopped the write process but there was still copied a little boot partition from the image to the veracrypt partition.
I do not did anything further with this partition before choosing the repair or recover solution if one exist and if possible.
I had very important data on it which would be very bad to loose...
Is there any possibility to recover the verycrypt volume?
Please help! I am very very nervous... And no I did not have a backup of the veracrypt headers or of the data.
I know this is a foolish situation but real life. Sh*** really happens...
Thank you in advance
Chris
Last edit: Christoph Kopetzky 2020-06-11
Really no chance? I read that there will be a backup of the partition headers at the end of the veracrypt volume but I need professional help not to loose eventually all of the stored data. I do have very important business and private data in it...
So please give me some hints to recover the volume if there is a possibility. In this forum I can read that with the a program option I could restore the volume headers but the vercrypt soft (actual version) could not see it. Maybe because the ssd headers are gone...
hmmm... once, i accidently formatted an encrypted external hdd.
this is what i did.
got a program that can recover PARTITIONS.( in my case DMDE)
it found and restored the vc partition. after that i was able to decrypt everything and copy the data to another device.
i think a major problem is, that the encrypted data has already been overwritten.
Mmh, after several threads here and in the truecrypt forum my plan was also to make a trial copy of the whole partition to another ssd (fortunately I do have the same evo850 ssd for this) and try to do that what you are describing.
I will use Acronis true image for copying and Disk Director 12.5 for undelete the partition...
I know that eventually 250 MB were lost for overwriting.
I will try it later...
Thank you
mit freundlichen Grüssen
with best Regards
Christoph Kopetzky
... some additional thoughts...
... use "sector by sector" copy method for the cloning.
... do not mount the partition after restoring (if sucessfull). decrypt it immediately.
@vondatuh
I cloned the original disk 1:1 with sector by sector copy. It leasts about 9 hours...
After that I delete the little 250 MB partition from linux boot and made a new partition without drive letter and formating...
After that I tried to mount the partition with veracrypt with the option to restore the original headers with a copy inside the volume...
I got the normal password dialog which remarks that it could last longer...
After a few seconds I got a failure windows as on the picture...
I am very nervous now because I do know what to do next... I do not want to loose my extreme important data :(
Last edit: Christoph Kopetzky 2020-06-13
Can anybody help me? I am afraid my data are gone... Although I can see with Winhex that there are encrypted data already on the raw partition...
In an old Verycrypt manual I found the offsets in bytes of the apropriate Veracrypt format entries (also the assumed places of the backup volume header). But I do not know to write it back to the sector 0 of the ssd.
I would give a compensation if someone can help me restoring my data...
ok.
du musst die vc partition mit einem programm wiederherstellen!
keine partitionen löschen oder erstellen!
also:
wenn das nicht geht folgendes probieren:
hast du eine rescue cd oder die iso datei? wenn ja, boote von cd/usb und versuche so die platte zu entschlüsseln OHNE sie zu mounten.
wenn das nicht funzt musst du mit der original SSD arbeiten, was sehr gefährlich wäre für die daten.
Danke, dass wenigstens Du mir versuchst zu helfen ;)
Die Entwickler reagieren leider auch nicht auf Emails...
Was ich bis jetzt gemacht und probiert habe:
Ich vermute, dass durch die Partitionierung der SSD beim irrtümlichen Beschreiben, sich die Offsetadressen des Backup Headerbereichs verschoben haben, deshalb kann der Backup Header nicht gefunden werden.
Aber das ist natürlich auch Spekulation.
Den Tip mit dem DMDE betreffend: ich habe da schon mal nach gelöschten Partitionen gesucht, aber nur jede Menge ext4 Linux Partitionen gefunden (die SSD war früher mal in einem Linuxrechner)... Weisst Du was für einen Partionstyp ich finden muss oder soll ich nur die größte Partition (an der SSD Größe orientieren) wiederherstellen?
Ich habe gestern auf der Backup SSD mal eine komplette Neueinrichtung, analog der ursprünglichen Einrichtung der "defekten" SSD, aus Neugier durchgeführt, um eventuell laut Veracrypt Format Beschreibung den Backup Header Bereich zu finden und nach einem bestimmten Schlüssel zu suchen.
Aber laut Benutzerhandbuch ist das nicht so eindeutig. Laut Formatdefinition liegt der Backup Header bei (SSDgröße in Bytes)-131072 Bytes und ist 64kB groß . Es ist entweder ein mit Zufallsdaten gefüllter Bereich, wenn ich kein Hidden Volume erzeugt habe oder was auch immer. Jetzt habe ich auch noch gelesen, dass, wenn es einen Backup Header gibt, dieser mit einem anderen Schlüssel verschlüsselt ist, als der Volume Header...
Ich blick nicht mehr durch und habe langsam den Eindruck, dass die Daten futsch sind... Wäre ein Desaster...
Auf jedenfall vielen Dank für Deine Hilfe...
Chris
ich habe mich nach der grösse der partition gerichtet.
hast du versucht ohne zu mounten "dauerhaft zu entschlüsseln"?
hast du mal die originalplatte mit dmde durchgesehen? vielleicht hat die orig. platte noch nen cache den dmde auslesen kann,.. der nicht geklont wird??
bau die platte doch mal in einen pc ein und behandle sie wie eine systemplatte und versuche dann mit der bootcd zu entschlüsseln? möglicherweise erkennt der vc loader die verschlüsselung und lässt dich mit korrektem pw entschlüsseln?
wie gross ist das image deiner platte? download möglich?
Last edit: vonDatuh 2020-06-15
OK, ich werde das heute Abend, bzw. morgen nach dem Kopieren mal mit den DMDE probieren. Die Originalplatte habe ich auch schon probiert, aber da ich ja im dd mode clone, war das Ergebnis das selbe...
Eine Veracrypt Rescue Disk CD oder USB Stick habe ich nicht. Ich habe damals ja nur eine externe USB SSD (1TB) für sensible Daten mit nur einer verschlüsselten Partition erstellt, ohne dass ich Hidden Volumes o.ä. verwendet habe.
Hat bis dato auch zuverlässig funktioniert. Bis zu dem besagten Aussetzer ...
Meinst Du ich kann mir im Nachhinein einen USB Rescue Stick basteln (mit dem offiziellen Download von:
Download the required files from the official SourceForge repository of VeraCrypt: https://sourceforge.net/projects/veracrypt/files/Contributions/VeraCryptUsbRescueDisk.zip) ?
Wenn das helfen sollte, probiere ich es aus...
Allerdings muss ich zuerst wieder ein dd clone erstellen... Mit der OriginalSSD mag ich nicht experimentieren (zumindest keine Schreibversuche)...
Die beiden SSDs (Original und dd Clone) sind identisch (Samsung EVO 840 1TB)
Die Imagedatei ist wahrscheinlich auch 1TB groß (wegen dem dd modus)...
Habe grad mal versucht eine Rescue Disk zu erzeugen... Geht leider nicht, da ich keine Systempartition oder Bootpartition verschlüsselt habe...
Es handelt sich ja nur um eine externe USB SSD, auf welcher meine hochsensiblen Daten ruhen.
ja, bastel dir den stick und versuche es.
die rescue.iso wird erstellt BEVOR die systemverschlüsselung beginnt.
also:
starte im installierten VC auf deinem system die systemverschlüsselung und mach alle schritte bis zum rettungsdatenträger. speichere die iso und brich den systemverschlüsselungsvorgang ab.
dann kannst du booten.
Ich probier es aus und geb Dir morgen Bescheid... Danke erstmal für Deine Hilfe :)
Also den Stick habe ich erstellt, aber der konnte mit der SSD nichts anfangen.
Danach habe ich folgendes gemacht:
Jetzt bin ich zwar einen Schritt weiter, komme aber immer noch nicht an meine Daten ran :(
sehr gut !
jetzt entschlüsseln!
wenn das funktioniert .... :-)
Geht leider nicht! :( (siehe Bild) Die gemountete Partition ist RAW und kein exFAT, wie eingerichtet. Ich hatte mich auch schon gefreut, aber dadurch, dass wohl die gesamte Plattenstruktur durch das versehentlich Beschreiben geändert wurde, ist da wohl viel verbogen
worden.
Ich kann mich erinnern, dass ich damals nach Einrichtung der Veracrypt Partition eine RAW Partition mit dem Pfad \Device\Harddisk1\Partition1 zum Einbinden hatte. Jetzt habe ich die
SSD mit dem Pfad \Device\Harddisk1\Partition0...
Die Fehlermeldung trügt! Es ist KEIN Erstellen eines verschlüsselten Volumes! Deshalb sei angemerkt, dass ich rechts auf das Volume geklickt und "Dauerhaft entschlüsseln" gewählt hatte !
also:
ICH würde jetzt folgendes tun:
möglicherweise ist die kopiererei der kopfdaten zuviel des guten :-(
ansonsten bräuchte ich die platte (oder den klon) um weiter forensisch tätig zu werden.
Ich habe nochmal ein wenig probiert und folgendes herausgefunden (alle Experimente habe ich nur mit der dd geklonten SSD durchgeführt):
Das Problem ist, dass die ursprüngliche Partitionierung auch nach Wiederherstellung der Kopfdaten (funktioniert auch) nicht geändert wird. Die kleine Bootpartition bleibt erhalten und es
wird auch keine Partition1 erzeugt, wie ursprünglioch eingerichtet.
Hast Du eine Empfehlung für mich mit welchem Tool ich die überschriebene Partionstabelle oder die Partition selbst suchen und wiederherstellen kann?
Acronmis Disk Director 12.5 kann mit verschlüsselten Partitionen nicht umgehen. Winhex Pro findet zwar jede Menge Partitionen (vieles von ursprünglichen Linux Installationen, was mit Sicherheit uralt ist, aber keine exFAT Partition, welche die ursprünglich verschlüsselte Partition unter Veracrypt war...
Das DMDE habe ich auch ausprobiert... ohne Erfolg oder zumindest ohne HowTo...
Die hier im Forum vom Benutzer Alex programmierte DcsFV ist für mich untauglich, da nur über nicht richtig dokumentierte XML Konfigurationen steuerbar... Keine ordentliche Doku vorhanden. Damit kann man ohne HowTo nicht arbeiten.
Das hier alseits beliebte Easus Data Recovery Wizard Tool bringt auch nix ausser jede Menge Linuxdateien... War aber klar...
Also ich bräuchte einen Tip, mit welchem Tool ich vernünftig die ursprüngliche Partition restaurieren/recovern kann oder zumindest die richtige Partitionierung. Dann glaube ich kann man danach über die Kopfdatenwiederherstellung das Ding zum Laufen bringen...
Dies ist die größte Hürde und auch wohl am kompliziertesten...
dmde
Bist Du fit mit DMDE? Wenn ja könnte man sich treffen für eine Recovery Session? Und wenn ja magst Du mir sagen in welcher Gegend Du beheimatet bist?
Hab grad gesehen dass Du für eine PN an dekagon@users.sourceforge.net mailen musst...
Last edit: Christoph Kopetzky 2020-06-17
have you found a solution to decrypt veracrypt without the password (a backdoor)?
We are very frustrated and depressed because no solution to access the encrypted hard drive
please i need a solution
no
@GENDARMERIE
First to know there is NO WAY to decrypt a veracrypt partition without the password!
What kind of problem do you have? Are you a windows or a linux user?
For a specific help some neccessary informations are important and that the point of interest (your damaged hdd or ssd or whatever) will not be changed by some further unorganized experiments!
@all readers
I can tell you that I am successfully restored all encrypted data on the damaged veracrypt partition with sensible analytics and well-planned actions.
It lasts a while but I did some tries which made unecoverable damage to the copy of my ssd disk. So I did a new copy (with a dd like tool) till I found the correct offset address for the backup header (128 kB length). In the veracrypt manual you can read the offset addresses for the backup header is (volume size (bytes) - 131072 bytes).
There are very import and neccessary informations written from user @dantz which gave me the final informations to solve the problem finding the backup header on my misparted ssd.
Look here:
https://www.wilderssecurity.com/threads/truecrypt-missing-partition-table.336671/
The neccessary infos on page 1
FIRST:
do not experient with the original hdd or ssd!!! Always do a dd copy of the entire disk into a file or an second hdd/ssd with same size or type!!!
Always work with the this copy or clone!
In case of failure on the original disk you will lose all your data or you do have more trouble as before! So be warned!
Furthermore for fixing you need the following tools for experimenting:
1) DD copied clone or file (I prefer a file because you do have to copy it one time!)
1) winhex or HxD (i prefer winhex) for dd cloning and editing/copying blocks
2) OSFMount for mounting a dd copied copy of your complete disk (you can revert wrong
actions simply by deleting the created cache and changes files in the same directory)
3) Windows disk management for cleaning up the partitions
4) eventually GetDataBack Pro (trial) for restoring some lost files on the veracrypt partition
What ist the final repair procedure?
Let me explain:
Remember I did wrote with an imaging tool an imagewrite onto my exterenal USB 3.1 veracrypt ssd which had also an embedded and encrypted veracrypt volume. Not a hidden volume!
There where after the stopped write a changed bootblock and partition structure on the ssd. A real chaos for me an starting point.
After several experiments I choosed the following strategy:
With Winhex I made a full clone into a file on a big external HDD. I saved it as .dd file. After my experiments I know that I did not have to made a copy of the original dd-file for security reasons but I didnt know that OSFMount saves every changed block or data on the virtual disk in a separate file. If you are deleting this file all chances are gone.
So you can do true forensic work on the virtual disk without risk to have to clone again after failure...
OK after mounting the file in OSFMount as read/write whole disk HDD I had to delete the created little linux boot partition from the drive with windows diskmanagement.
After that I dismounted the disk and remounted again to proove whether the changes are permanent (in the changes file) what had happened...
Now you must initalize the disk. Also with windows disk management.Please be careful to choose MBR and not GPT Partition table!
The next step is creating a partition with the maximum size of the disk (as in the veracrypt encrypting size infos). Do not give it a drive letter and do not format the partition!
After that the partition shows as RAW. That is quite normal as it was for me before the crash.
Now I startet winhex and located the Backup header area in the encrypted raw partition... I found it calculating from the last byte minus 131072 bytes and converting it to the right offset. Blockstart was the decimal offset (10002041400543 - 131072 = 1000204009472) and Blockend was the maximum Bytes ((10002041400543 ). Then save this block into a file (maybe Backupheader01). It should give an exact 128 kB file.
You can check whether you have the right block with starting veracrypt and choose file instead of the disk partition. In the opening dialog take the saved file before.
You should get the password dialog as usual. Try it without the option 'Use backup header embedded in volume if available'! It should mount as expected and is showing the same entry as before as full disk.
If this happened you are a lucky finder of the header backup area!
Now lets go further:
Select dismount the file and change the mount volume to the \Device\Harddisk1\Partition1 or the appropriate Harddisk number. The Partition should always be 1.
So after that choose Volume Tools and select Restore Volume Header. The choose Restore the volume header from an external backup file and choose the Backupheader01 file from above...
With this procedure you will restore the volume backup header to the partition1 ! Never do that with the external disk (partition0) instead! That will NOT work!
Always onto the real Veracrypt Volume (Harddisk1\Partition1).
After that you have to do some mouse movements and after getting green you can click on the button...
After successful finish of the restore you should be able to mount your 'old' Veracrypt volume with your old password and the filysystem should be also accessible.
Instead you have a virtual disk you can every time mount it and do have a full backup after eliminating every logical bug inside it :)
In my case only one directory with some pictures was empty. All other data where decrypting and fully accessable! ;-) what a happyness!
With the GetDatasBack Pro trial I got also the lost pictures back (and yes I bought a license for 79 US$ but I can tell you the tool gets all directories and filenames back!! )
This is great instead getting a list of cryptic filenames and have to search after the files you want to save... And in the case I do need it again I already have it and I can start restoring the lost and found files :)
Happy recovery
Chris