Перейти к содержимому


Фото
- - - - -

Поймал шифровщик, помогите

шифровщик вирус троян лечение срочно

  • Please log in to reply
21 ответов в этой теме

#1 Zvezdochka

Zvezdochka

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 29 Июнь 2023 - 23:38

Поймал вирус-шифровщик с винлоком, винлок снял, а файлы зашифровали, зашифровали диск с виндой + жесткий диск
Диск  с виндой частично зашифровали, но и скрыли вирусы в автозапуск, автозапуск то я отключил
на С диске зашифровали документы и всё что связано с юзером (как бы файлы там есть, но их не найти)
Жесткий диск так же зашифровали, файлы есть, но их не видно
Подскажите, что делать? Поможет ли переустановка виндовс?
Можно ли как-то восстановить файлы? Дешифровать
В текстовом файле было это: "[14237] Ooops! Your files are encrypted by the CryptoBytes hacker group! Telegram for contact: @BlackHattersbot  "

Прикрепленные файлы:



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 202 Сообщений:

Отправлено 29 Июнь 2023 - 23:38

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];



#3 Zvezdochka

Zvezdochka

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 29 Июнь 2023 - 23:38

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

прислать зашифрованные файлы не могу, их тупо скрыли, даже через "скрытые файлы" не показывает



#4 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 655 Сообщений:

Отправлено 29 Июнь 2023 - 23:40

Переустановить ОС, конечно, никто Вам не запретит, только вот зашифрованные файлы от этого не расшифруются...

Прикрепленные файлы:

  • Прикрепленный файл  papka.jpg   70,61К   0 Скачано раз


#5 Zvezdochka

Zvezdochka

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 29 Июнь 2023 - 23:41

Переустановить ОС, конечно, никто Вам не запретит, только вот зашифрованные файлы от этого не расшифруются...

А что делать тогда?


 

Переустановить ОС, конечно, никто Вам не запретит, только вот зашифрованные файлы от этого не расшифруются...

А что делать тогда?

 

 

Переустановить ОС, конечно, никто Вам не запретит, только вот зашифрованные файлы от этого не расшифруются...

Поможет ли удаление тома, форматирование?



#6 Zvezdochka

Zvezdochka

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 29 Июнь 2023 - 23:45

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

Прикрепленные файлы:

  • Прикрепленный файл  cureit.log   15,81Мб   4 Скачано раз


#7 Alexander007

Alexander007

    Foreign Member

  • Posters
  • 1 414 Сообщений:

Отправлено 29 Июнь 2023 - 23:47

https://download.geo.drweb.com/pub/drweb/tools/dwsysinfo.exe - вот сбор выполнить отчет , а Вирусный аналитик проанализирует .  Залить любой обменник либо Яндекс.


Global Malware Hunting.


#8 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 655 Сообщений:

Отправлено 29 Июнь 2023 - 23:48

Снимите галку с пункта "скрывать защищенные системные файлы". Не появились?



#9 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 655 Сообщений:

Отправлено 29 Июнь 2023 - 23:49

Поможет ли удаление тома, форматирование?
Избавиться от данных навсегда? Да, поможет. Расшифровать данные - нет, не поможет.

#10 Zvezdochka

Zvezdochka

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 29 Июнь 2023 - 23:50

Снимите галку с пункта "скрывать защищенные системные файлы". Не появились?

Появились файлы, но они скрыты и ничего не сделать больше


https://download.geo.drweb.com/pub/drweb/tools/dwsysinfo.exe - вот сбор выполнить отчет , а Вирусный аналитик проанализирует .  Залить любой обменник либо Яндекс.

ссылка 404 not found

Прикрепленные файлы:



#11 Zvezdochka

Zvezdochka

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 29 Июнь 2023 - 23:55

 

Снимите галку с пункта "скрывать защищенные системные файлы". Не появились?

Появились файлы, но они скрыты и ничего не сделать больше


https://download.geo.drweb.com/pub/drweb/tools/dwsysinfo.exe - вот сбор выполнить отчет , а Вирусный аналитик проанализирует .  Залить любой обменник либо Яндекс.

ссылка 404 not found

 

Что дальше?



#12 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 655 Сообщений:

Отправлено 29 Июнь 2023 - 23:57

Для того, чтобы снять неактивный атрибут "скрытый" с папки/файла, нужно проделать следующие действия:
1. Открыть окно "Выполнить", для этого нажать на комбинацию клавиш Win-R, или зайти в Пуск -> Выполнить
2. В строке "Открыть" пишем attrib -h -s /d /s "C:\*" (где "C:\*" - это буква вашего диска)


#13 Alexander007

Alexander007

    Foreign Member

  • Posters
  • 1 414 Сообщений:

Отправлено 29 Июнь 2023 - 23:58

Попробуйте еще раз ( предыдущая не работает по ошибке) :

 

https://cdn-download.drweb.com/pub/drweb/tools/dwsysinfo.exe


Сообщение было изменено Alexander007: 29 Июнь 2023 - 23:59

Global Malware Hunting.


#14 Zvezdochka

Zvezdochka

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 29 Июнь 2023 - 23:59

 

Для того, чтобы снять неактивный атрибут "скрытый" с папки/файла, нужно проделать следующие действия:
1. Открыть окно "Выполнить", для этого нажать на комбинацию клавиш Win-R, или зайти в Пуск -> Выполнить
2. В строке "Открыть" пишем attrib -h -s /d /s "C:\*" (где "C:\*" - это буква вашего диска)

 

При попытке сделать это - нет доступа

Прикрепленные файлы:



#15 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 655 Сообщений:

Отправлено 30 Июнь 2023 - 00:02

Попробуйте запустить командную строку (cmd) от имени администратора, и уже в открывшемся консольном окне ввести attrib -h -s /d /s "C:\*"



#16 Zvezdochka

Zvezdochka

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 30 Июнь 2023 - 00:08

Попробуйте запустить командную строку (cmd) от имени администратора, и уже в открывшемся консольном окне ввести attrib -h -s /d /s "C:\*"

Всё равно пишет что нет доступа, но скрытые папки снова стали видными
Что дальше? В том же управлении дисков показывается что всё еще зашифровано..

Прикрепленные файлы:



#17 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 655 Сообщений:

Отправлено 30 Июнь 2023 - 00:12

То, что на скрине - это, очевидно, шифрованный EFI раздел. К шифрованию файлов он не имеет ни малейшего отношения. От слова "совсем". Не трогайте там ничего.

А дальше - собирать логи, как уже было указано. Если у вас есть лицензия - обращаться в техподдержку.


Сообщение было изменено Dmitry_rus: 30 Июнь 2023 - 00:13


#18 Zvezdochka

Zvezdochka

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 30 Июнь 2023 - 00:15

То, что на скрине - это, очевидно, шифрованный EFI раздел. К шифрованию файлов он не имеет ни малейшего отношения. От слова "совсем". Не трогайте там ничего.

А дальше - собирать логи, как уже было указано. Если у вас есть лицензия - обращаться в техподдержку.

Про логи, программа зависла, это так и должно быть?
Уже это долго

Прикрепленные файлы:


Сообщение было изменено Zvezdochka: 30 Июнь 2023 - 00:15


#19 Zvezdochka

Zvezdochka

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 30 Июнь 2023 - 00:17

Попробуйте еще раз ( предыдущая не работает по ошибке) :

 

https://cdn-download.drweb.com/pub/drweb/tools/dwsysinfo.exe

 

 

То, что на скрине - это, очевидно, шифрованный EFI раздел. К шифрованию файлов он не имеет ни малейшего отношения. От слова "совсем". Не трогайте там ничего.

А дальше - собирать логи, как уже было указано. Если у вас есть лицензия - обращаться в техподдержку.

Про логи, программа зависла, это так и должно быть?
Уже это долго

 

https://disk.yandex.ru/d/93UOs2NNu4C3WA
Всё, отвисло и выдало архив



#20 Zvezdochka

Zvezdochka

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 30 Июнь 2023 - 00:26

Я  не понимаю, шифрование файлов было тем, что все папки мне скрыли?
Или что-то ещё там?





Also tagged with one or more of these keywords: шифровщик, вирус, троян, лечение, срочно

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых