Брат отрицает причастность к данному инциденту, а файлы не копируются(

Все-таки использование сертификатов случайно быть не может

Если я правильно понял, у вас и вашего брата разные учётные записи. В этом случае нужно учитывать следующие факторы:

Получить доступ к зашифрованным файлам на NTFS может:
1. Пользователь, который их зашифровал.
2. Другой пользователь, который импортировал сертификат первого пользователя.

Таким образом вы не можете получить доступ к файлам, зашифрованным из под учётной записи брата, без импорта сертификата. Наличие прав доступа необходимо, но недостаточно.

Если учётная запись пользователя, зашифровавшего файлы, была удалена и нет резервной копии его сертификата, то данные безвозвратно утеряны.

А вот эта программа не поможет?
http://elcomsoft.ru/aefsdr.html

Возможно и поможет. Вероятность успеха при применении подобных программ сильно зависит от конкретной ситуации.
В данном случае пока точно неизвестно в чём проблема у автора, возможно EFS тут и ни при чём.

Попробуйте вот эту программу: http://elcomsoft.ru/aefsdr.html

И еще одно предположение. Вы не "ловили" вирус Trojan.Encoder? Он любитель зашифровывать изображения, документы и т.д. Может в папке с фотографиями есть какой-то текстовый файл?

Коллеги там все чисто, стоит KIS2011.

EFS очень даже причем, я смотрел по TeamViewerу, стоит шифрование от другого пользователя. Я так понимаю была случайно поставлена галка шифровать данные.

А что с учётной записью пользователя, который зашифровал файлы? Она существует в данный момент?

нет, винда переставлена к сожалению

будем пробовать Advanced EFS Data Recovery

Я тоже думал, что если учетка есть, то можно сертификат вытянуть, но уже поздно.

Спасибо за онлайн помощь.

Специалисты, по возможности предлагайте свои варианты решения. Очень нужны эти фотки на 2 гига:-( а кис2011-лицензионный. Вирусов вообще нет. Рекомендую...

надо пробовать на конкретном примере, лично у меня прога из двух зашифрованных файлов нашла только 1.

Я думаю надежды мало. Попробуйте EFS Data Recovery, вдруг повезёт.

Надежда умирает последней

Прежде всего, сделайте образ диска с фотками на другой физический диск.

Если диск не заполнен полностью, можно попробовать поискать удаленные фотографии. Я не знаю принцип шифрования EFS, возможно вначале происходит шифровка, а затем удаление фотографий.
Можете попробовать http://www.cgsecurity.org/wiki/PhotoRec

Тестировал Advanced EFS Data Recovery:

[1] Создал зашифрованный файл, скопировал его на раздел NTFS
[2] Экспортировал сертификат
[3] Удалил из хранилища сертификат
[4] Запустил Advanced EFS Data Recovery
[5] Показал сканить ключи на системном каталоге и на целевом диске посекторно
[6] Прога нашла кое-какие ключи, добавил логин-пароль юзера, который шифровал файл
[7] Показал искать зашифрованные файлы, указал место, посекторно
[8] Результат 0
[9] Перегрузился в другую винду и повторил все действия
[10] Результат 0

[11] Импортировал сертификат, перегрузился в другую винду, повторил поиск
[12] Результат 0

Причем прога видит только 1 зашифрованный файл, который я проверял на снятие защиты перед подачей ответа. И расшифровать его не может.

Прежде всего, сделайте образ диска с фотками на другой физический диск.

Сделали вчера, попытки конвертнуть в фат успеха не принесли. Акронис отказался
Возможно более древняя прога сможет.

Я это предложил, чтобы не затерли нужную информацию =) Прежде чем что-то важное делать, нужно иметь копию

Efs recovery увидела все зашифрованные файлы, поверхностное сканирование ключей не дало, на более глубокое надо время. Буду пробовать.

Ключи вероятно хранятся на системном томе, его нужно сканировать в первую очередь. Хотя вероятность найти там незатёртый ключ близка к нулю.
Конвертировать файловую систему бессмысленно.

Можно попробывать использовать PowerShell. Взято отсюда

Посмотрите и это

Efs Recovery от DiskInternals сумела на предосмотре показать зашифрованный файл, правда с вотемарками т.к. триалка. Efskeyd ничего не смогла сделать.

Уважаемые модераторы, пожалуйста, продлите консультацию. Есть ещё пару способов, которые озвучены ещё не были. Мне кажется защита EFS не такая уж страшная, по крайней меря вчера у меня получилось восстановить файлы без сертификата (надо перепроверить ещё раз). По некоторым причинам не получилось попробовать вчера с автором вопроса опробовать эту методику. Перенесли на сегодня вечером, возможно, все-таки удастся получить доступ.

Продлил. Сообщите, если потребуется еще время.

я понимаю что такой выход тоже присутствует, по поверьте моему опыту безвыхдных ситуаций небольшое множество...так что) коешно если не заморачиваться на вопросы и не пытаться, как сказал Belotchik "утереть нос Гейтсу", то зачем же создан этот сайт? разве не для помощи обычным людям?хоть и за деньги....или Вам надо пояснить ситуацию отдельно?? ведь деньги уплоченные за вопрос тоже не с воздуха взяты!!! так что если есть что сказать по поводу расшифровки-милости просим. Если чем-то задел-извеняйте...

Нисколечко не задевает. Просто жаль время потраченное Вами и К^o. А по поводу сопливых носов большого Билла и К^o, так это не чета нашей и вашей: и по численности и, особенно, по их квалификации. Тем более, они же являются создателями Windows и EFS. Это Вам не пароль сбросить.

По поводу тех денюжек, которые Вами уплачены. На Ваш вопрос даны ответы и, что особо ценно, было проведено обсуждение вопроса со всех сторон, так сказать проведён "мозговой штурм" экспертов рассылки, да и модераторы не дремлют, думаяМной , наверное, подытожена дискуссия . Согласитесь, отрицательный ответ на свой вопрос — это тоже нормально,
[size=3]это квалифицированное напоминание, что так делать нельзя.[/size]

И опыт небольшой в этом вопросе уже имеется, в нашем городе Уфе тоже есть экспериментаторы с системой EFS, затем перестановка системы и, соответственно, крики "SOS". Да, если бы остались файлы от старой операционной системы из этих, обратите внимание, папок:
[size=1]%SYSTEMDRIVE%\Documents and Settings\%UserName%\Application Data\Microsoft\Crypto\
%SYSTEMDRIVE%\Documents and Settings\%UserName%\Application Data\Microsoft\Protect\
%SYSTEMDRIVE%\Documents and Settings\%UserName%\Application Data\Microsoft\SystemCertificates\ [/size], то утереть нос можно, если нет, то о файлах можно забыть, а носовой платок пригодиться, слёзы утирать (не в обиду сказано, просто так пришлось, по сценарию).
Кстати, сам при перестановке всегда сохраняю папки от старой системы Windows ( Documents and Settings, Programm Files, бывает и папку Windows до кучи), благо объёмы винчестеров позволяют. "Соломка" ... :)
Удачи Вам!

спасибо)) красиво говорите Вы.. но ещё не всё потеряно....Belotchik возможно нашёл не хитрое решение этой проблемы... и я не сомневаюсь что здесь решаются проблемы посредством помощи квалифицированных специалистов.
если бы я это сделал было бы обидно) но галочку видно случайно нажал старший брат.....сам того не подозревая какие могут быть последствия....
Удачи и Вам))