Поймал вирус-шифровщик с винлоком, винлок снял, а файлы зашифровали, зашифровали диск с виндой + жесткий диск
Диск с виндой частично зашифровали, но и скрыли вирусы в автозапуск, автозапуск то я отключил
на С диске зашифровали документы и всё что связано с юзером (как бы файлы там есть, но их не найти)
Жесткий диск так же зашифровали, файлы есть, но их не видно
Подскажите, что делать? Поможет ли переустановка виндовс?
Можно ли как-то восстановить файлы? Дешифровать
В текстовом файле было это: "[14237] Ooops! Your files are encrypted by the CryptoBytes hacker group! Telegram for contact: @BlackHattersbot "
Поймал шифровщик, помогите
#1
Отправлено 29 Июнь 2023 - 23:38
#2
Отправлено 29 Июнь 2023 - 23:38
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
#3
Отправлено 29 Июнь 2023 - 23:38
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
прислать зашифрованные файлы не могу, их тупо скрыли, даже через "скрытые файлы" не показывает
#4
Отправлено 29 Июнь 2023 - 23:40
Переустановить ОС, конечно, никто Вам не запретит, только вот зашифрованные файлы от этого не расшифруются...
Прикрепленные файлы:
#5
Отправлено 29 Июнь 2023 - 23:41
Переустановить ОС, конечно, никто Вам не запретит, только вот зашифрованные файлы от этого не расшифруются...
А что делать тогда?
Переустановить ОС, конечно, никто Вам не запретит, только вот зашифрованные файлы от этого не расшифруются...
А что делать тогда?
Переустановить ОС, конечно, никто Вам не запретит, только вот зашифрованные файлы от этого не расшифруются...
Поможет ли удаление тома, форматирование?
#6
Отправлено 29 Июнь 2023 - 23:45
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
Прикрепленные файлы:
#7
Отправлено 29 Июнь 2023 - 23:47
https://download.geo.drweb.com/pub/drweb/tools/dwsysinfo.exe - вот сбор выполнить отчет , а Вирусный аналитик проанализирует . Залить любой обменник либо Яндекс.
Global Malware Hunting.
#8
Отправлено 29 Июнь 2023 - 23:48
Снимите галку с пункта "скрывать защищенные системные файлы". Не появились?
#9
Отправлено 29 Июнь 2023 - 23:49
Поможет ли удаление тома, форматирование?Избавиться от данных навсегда? Да, поможет. Расшифровать данные - нет, не поможет.
#10
Отправлено 29 Июнь 2023 - 23:50
Снимите галку с пункта "скрывать защищенные системные файлы". Не появились?
Появились файлы, но они скрыты и ничего не сделать больше
https://download.geo.drweb.com/pub/drweb/tools/dwsysinfo.exe - вот сбор выполнить отчет , а Вирусный аналитик проанализирует . Залить любой обменник либо Яндекс.
ссылка 404 not found
Прикрепленные файлы:
#11
Отправлено 29 Июнь 2023 - 23:55
Снимите галку с пункта "скрывать защищенные системные файлы". Не появились?
Появились файлы, но они скрыты и ничего не сделать больше
https://download.geo.drweb.com/pub/drweb/tools/dwsysinfo.exe - вот сбор выполнить отчет , а Вирусный аналитик проанализирует . Залить любой обменник либо Яндекс.
ссылка 404 not found
Что дальше?
#12
Отправлено 29 Июнь 2023 - 23:57
#13
Отправлено 29 Июнь 2023 - 23:58
Попробуйте еще раз ( предыдущая не работает по ошибке) :
https://cdn-download.drweb.com/pub/drweb/tools/dwsysinfo.exe
Сообщение было изменено Alexander007: 29 Июнь 2023 - 23:59
Global Malware Hunting.
#14
Отправлено 29 Июнь 2023 - 23:59
Для того, чтобы снять неактивный атрибут "скрытый" с папки/файла, нужно проделать следующие действия:1. Открыть окно "Выполнить", для этого нажать на комбинацию клавиш Win-R, или зайти в Пуск -> Выполнить2. В строке "Открыть" пишем attrib -h -s /d /s "C:\*" (где "C:\*" - это буква вашего диска)
При попытке сделать это - нет доступа
Прикрепленные файлы:
#15
Отправлено 30 Июнь 2023 - 00:02
Попробуйте запустить командную строку (cmd) от имени администратора, и уже в открывшемся консольном окне ввести attrib -h -s /d /s "C:\*"
#16
Отправлено 30 Июнь 2023 - 00:08
Попробуйте запустить командную строку (cmd) от имени администратора, и уже в открывшемся консольном окне ввести attrib -h -s /d /s "C:\*"
Всё равно пишет что нет доступа, но скрытые папки снова стали видными
Что дальше? В том же управлении дисков показывается что всё еще зашифровано..
Прикрепленные файлы:
#17
Отправлено 30 Июнь 2023 - 00:12
То, что на скрине - это, очевидно, шифрованный EFI раздел. К шифрованию файлов он не имеет ни малейшего отношения. От слова "совсем". Не трогайте там ничего.
А дальше - собирать логи, как уже было указано. Если у вас есть лицензия - обращаться в техподдержку.
Сообщение было изменено Dmitry_rus: 30 Июнь 2023 - 00:13
#18
Отправлено 30 Июнь 2023 - 00:15
То, что на скрине - это, очевидно, шифрованный EFI раздел. К шифрованию файлов он не имеет ни малейшего отношения. От слова "совсем". Не трогайте там ничего.
А дальше - собирать логи, как уже было указано. Если у вас есть лицензия - обращаться в техподдержку.
Про логи, программа зависла, это так и должно быть?
Уже это долго
Прикрепленные файлы:
Сообщение было изменено Zvezdochka: 30 Июнь 2023 - 00:15
#19
Отправлено 30 Июнь 2023 - 00:17
Попробуйте еще раз ( предыдущая не работает по ошибке) :
https://cdn-download.drweb.com/pub/drweb/tools/dwsysinfo.exe
То, что на скрине - это, очевидно, шифрованный EFI раздел. К шифрованию файлов он не имеет ни малейшего отношения. От слова "совсем". Не трогайте там ничего.
А дальше - собирать логи, как уже было указано. Если у вас есть лицензия - обращаться в техподдержку.
Про логи, программа зависла, это так и должно быть?
Уже это долго
https://disk.yandex.ru/d/93UOs2NNu4C3WA
Всё, отвисло и выдало архив
#20
Отправлено 30 Июнь 2023 - 00:26
Я не понимаю, шифрование файлов было тем, что все папки мне скрыли?
Или что-то ещё там?
Also tagged with one or more of these keywords: шифровщик, вирус, троян, лечение, срочно
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых