21 ответов в этой теме

[Zvezdochka]

Поймал вирус-шифровщик с винлоком, винлок снял, а файлы зашифровали, зашифровали диск с виндой + жесткий диск
Диск  с виндой частично зашифровали, но и скрыли вирусы в автозапуск, автозапуск то я отключил
на С диске зашифровали документы и всё что связано с юзером (как бы файлы там есть, но их не найти)
Жесткий диск так же зашифровали, файлы есть, но их не видно
Подскажите, что делать? Поможет ли переустановка виндовс?
Можно ли как-то восстановить файлы? Дешифровать
В текстовом файле было это: "[14237] Ooops! Your files are encrypted by the CryptoBytes hacker group! Telegram for contact: @BlackHattersbot  "

Прикрепленные файлы:

•  изображение_2023-06-30_043319990.png   7,1К   0 Скачано раз
•  изображение_2023-06-30_043348887.png   10,7К   0 Скачано раз
•  изображение_2023-06-30_043422689.png   8,48К   0 Скачано раз
•  изображение_2023-06-30_043503542.png   10,4К   0 Скачано раз
•  info-0v92.txt   115байт   6 Скачано раз
•  изображение_2023-06-30_043554438.png   3,1К   0 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

[Zvezdochka]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

прислать зашифрованные файлы не могу, их тупо скрыли, даже через "скрытые файлы" не показывает

[Dmitry_rus]

Переустановить ОС, конечно, никто Вам не запретит, только вот зашифрованные файлы от этого не расшифруются...

Прикрепленные файлы:

•  papka.jpg   70,61К   0 Скачано раз

[Zvezdochka]

Переустановить ОС, конечно, никто Вам не запретит, только вот зашифрованные файлы от этого не расшифруются...

А что делать тогда?

 

Переустановить ОС, конечно, никто Вам не запретит, только вот зашифрованные файлы от этого не расшифруются...

А что делать тогда?

 

 

Переустановить ОС, конечно, никто Вам не запретит, только вот зашифрованные файлы от этого не расшифруются...

Поможет ли удаление тома, форматирование?

[Zvezdochka]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

Прикрепленные файлы:

•  cureit.log   15,81Мб   4 Скачано раз

[Alexander007]

https://download.geo.drweb.com/pub/drweb/tools/dwsysinfo.exe - вот сбор выполнить отчет , а Вирусный аналитик проанализирует .  Залить любой обменник либо Яндекс.

[Dmitry_rus]

Снимите галку с пункта "скрывать защищенные системные файлы". Не появились?

[Dmitry_rus]

Поможет ли удаление тома, форматирование?

Избавиться от данных навсегда? Да, поможет. Расшифровать данные - нет, не поможет.

[Zvezdochka]

Снимите галку с пункта "скрывать защищенные системные файлы". Не появились?

Появились файлы, но они скрыты и ничего не сделать больше

https://download.geo.drweb.com/pub/drweb/tools/dwsysinfo.exe - вот сбор выполнить отчет , а Вирусный аналитик проанализирует .  Залить любой обменник либо Яндекс.

ссылка 404 not found

Прикрепленные файлы:

•  изображение_2023-06-30_044923769.png   28,09К   0 Скачано раз
•  изображение_2023-06-30_044937530.png   9,06К   0 Скачано раз

[Zvezdochka]

 

Снимите галку с пункта "скрывать защищенные системные файлы". Не появились?

Появились файлы, но они скрыты и ничего не сделать больше

https://download.geo.drweb.com/pub/drweb/tools/dwsysinfo.exe - вот сбор выполнить отчет , а Вирусный аналитик проанализирует .  Залить любой обменник либо Яндекс.

ссылка 404 not found

 

Что дальше?

[Dmitry_rus]

Для того, чтобы снять неактивный атрибут "скрытый" с папки/файла, нужно проделать следующие действия:

1. Открыть окно "Выполнить", для этого нажать на комбинацию клавиш Win-R, или зайти в Пуск -> Выполнить

2. В строке "Открыть" пишем attrib -h -s /d /s "C:\*" (где "C:\*" - это буква вашего диска)

[Alexander007]

Попробуйте еще раз ( предыдущая не работает по ошибке) :

 

https://cdn-download.drweb.com/pub/drweb/tools/dwsysinfo.exe

Сообщение было изменено Alexander007: 29 Июнь 2023 - 23:59

[Zvezdochka]

 

Для того, чтобы снять неактивный атрибут "скрытый" с папки/файла, нужно проделать следующие действия:

1. Открыть окно "Выполнить", для этого нажать на комбинацию клавиш Win-R, или зайти в Пуск -> Выполнить

2. В строке "Открыть" пишем attrib -h -s /d /s "C:\*" (где "C:\*" - это буква вашего диска)

 

При попытке сделать это - нет доступа

Прикрепленные файлы:

•  изображение_2023-06-30_045854894.png   39,46К   0 Скачано раз

[Dmitry_rus]

Попробуйте запустить командную строку (cmd) от имени администратора, и уже в открывшемся консольном окне ввести attrib -h -s /d /s "C:\*"

[Zvezdochka]

Попробуйте запустить командную строку (cmd) от имени администратора, и уже в открывшемся консольном окне ввести attrib -h -s /d /s "C:\*"

Всё равно пишет что нет доступа, но скрытые папки снова стали видными
Что дальше? В том же управлении дисков показывается что всё еще зашифровано..

Прикрепленные файлы:

•  изображение_2023-06-30_050738518.png   4,32К   0 Скачано раз

[Dmitry_rus]

То, что на скрине - это, очевидно, шифрованный EFI раздел. К шифрованию файлов он не имеет ни малейшего отношения. От слова "совсем". Не трогайте там ничего.

А дальше - собирать логи, как уже было указано. Если у вас есть лицензия - обращаться в техподдержку.

Сообщение было изменено Dmitry_rus: 30 Июнь 2023 - 00:13

[Zvezdochka]

То, что на скрине - это, очевидно, шифрованный EFI раздел. К шифрованию файлов он не имеет ни малейшего отношения. От слова "совсем". Не трогайте там ничего.

А дальше - собирать логи, как уже было указано. Если у вас есть лицензия - обращаться в техподдержку.

Про логи, программа зависла, это так и должно быть?
Уже это долго

Прикрепленные файлы:

•  изображение_2023-06-30_051435274.png   9,37К   0 Скачано раз

Сообщение было изменено Zvezdochka: 30 Июнь 2023 - 00:15

[Zvezdochka]

Попробуйте еще раз ( предыдущая не работает по ошибке) :

 

https://cdn-download.drweb.com/pub/drweb/tools/dwsysinfo.exe

 

 

То, что на скрине - это, очевидно, шифрованный EFI раздел. К шифрованию файлов он не имеет ни малейшего отношения. От слова "совсем". Не трогайте там ничего.

А дальше - собирать логи, как уже было указано. Если у вас есть лицензия - обращаться в техподдержку.

Про логи, программа зависла, это так и должно быть?
Уже это долго

 

https://disk.yandex.ru/d/93UOs2NNu4C3WA
Всё, отвисло и выдало архив

[Zvezdochka]

Я  не понимаю, шифрование файлов было тем, что все папки мне скрыли?
Или что-то ещё там?