无忧启动论坛

标题: 记事本文件变成这个样如何恢复(CrypToWall病毒) [打印本页]

作者: ggmm888 时间: 2016-1-15 21:27
标题: 记事本文件变成这个样如何恢复(CrypToWall病毒)
本帖最后由 ggmm888 于 2016-1-17 18:50 编辑

如题,所有硬盘的记事本文件全变成这样了(还有exe文件，还有压缩文件)，如何清除CrypToWall病毒？如何恢复数据呀

无标题.jpg (149.06 KB, 下载次数: 113)

记事本文件变成这个样

作者: shan 时间: 2016-1-15 22:04
只是失去文件关联而已，百度一下方法和工具就可以了。手机上的，帮不了忙了。

作者: ggmm888 时间: 2016-1-15 22:06
本帖最后由 ggmm888 于 2016-1-15 22:09 编辑

仔细看一下，后缀名全都变了,还有一部分相同文件没有变还可以正常使用，只要是这个时间变的文件全部不能使用了

作者: fuldho 时间: 2016-1-15 23:53
上招了！

作者: pcfan120 时间: 2016-1-16 00:23
后缀名全都变了,是中毒搞的吗

作者: 一代宗师 时间: 2016-1-16 08:33
中毒

作者: lanmeizhuangyua 时间: 2016-1-16 08:38
中毒太深了

作者: ggmm888 时间: 2016-1-16 08:41
本帖最后由 ggmm888 于 2016-1-16 08:51 编辑

使用PE查看文件还是这样的（应该不是失去文件关联造成的），好像是随机的乱码，就是中毒，有办法恢复吗？文件太多损失太严重了。
病毒改成这样，自己都不知是什么了，硬盘这么多的东西都不能用，急呀

作者: ggmm888 时间: 2016-1-16 08:57
用WINHEX打开，里面也是乱码，还有希望恢复吗？

无标题1.jpg (600.75 KB, 下载次数: 97)

用WINHEX打开

作者: ggmm888 时间: 2016-1-16 12:03
本帖最后由 ggmm888 于 2016-1-16 12:12 编辑

应不是硬盘损坏，两块硬盘全部成这样了。全是一个时间点做的（被改文件时间点有半个小时之久）。有没有好办法恢复数据

这是什么病毒，这么缺德。多年的资料一下全没有了

现在还可以使用这台中毒的电脑上网

作者: vaf 时间: 2016-1-16 19:19
养成备份的好习惯吧.
假如有一天硬盘突然挂了, 后果比这个一点不逊.

作者: shan 时间: 2016-1-16 23:06
哇，原来这样啊！咨询下HXJ大大吧！别的偶也不知道谁是杀软高手哎！

作者: ggmm888 时间: 2016-1-17 07:30
本帖最后由 ggmm888 于 2016-1-17 08:01 编辑

被破坏的文件里这张图,下面所说是真的吗？

当你打开电脑里面的一张图片，看到里面有系列英文，其中开头是What happened to your files ?.......

不用再往下看了，你已经中了勒索软件CryptoWall病毒了，别想解密或者修复你电脑感染的文件，除非该文件对于非常非常重要，否则重新分区格式化硬盘重装系统重装系统，如果一定要找回文件，那只好听听话话的给勒索者支付美金吧，别尝试找人修复，那是徒劳无用的。

这就是随便浏览网站，随便下载安装软件的代价了。提示下：这个黑客锁住的文件，基本是所有你需要的文件，你不需要的文件，她是不会枷锁的。这个勒索软件CryptoWall是很容易杀掉，但被它感染的文件就没法修复了。

HELP_YOUR_FILES.PNG (44.78 KB, 下载次数: 70)

作者: ggmm888 时间: 2016-1-17 08:04
本帖最后由 ggmm888 于 2016-1-17 20:56 编辑

谁有杀CrypToWall病毒的方法，还有解密工具。我是中的是那个版本？

我想全部清理一下CrypToWall病毒，不要让它再破坏了

金山杀毒软件也没查出病毒来

作者: ggmm888 时间: 2016-1-19 20:32
本帖最后由 ggmm888 于 2016-1-19 21:04 编辑

CrypToWall病毒
我中的是那个版本

这种加密是入侵到电脑，人工加密。还是这个工具自动加密的。个人感觉像是入侵似的。全把有价值的加密了

作者: ggmm888 时间: 2016-1-21 08:13
一个记事本文档被加密成这样子，活体病毒，不知到那里找，可明示。我现在就是使用的是已中毒系统。我真的想知他是不是入侵到电脑，查看重要文件后加密的

33qwcf13.rar

455 Bytes, 下载次数: 3, 下载积分: 无忧币 -2

一个记事本文档被加密成这样子

作者: gd小兵 时间: 2016-1-21 08:35

ggmm888 发表于 2016-1-19 20:32
CrypToWall病毒
我中的是那个版本

这是勒索病毒了，中了这处必须马上关机，进PE，尽可能减小篡改文件的可能性，马上重新安装系统，数据重要的就乖乖的交钱吧，好像是限定时间的，过了时间就没办法恢复了。

作者: gd小兵 时间: 2016-1-21 08:39

ggmm888 发表于 2016-1-17 08:04
谁有杀CrypToWall病毒的方法，还有解密工具。我是中的是那个版本？

我想全部清理一下CrypToWall病毒，不 ...

360可以查杀出来的

作者: hai2002713 时间: 2016-1-21 08:46
提示: 作者被禁止或删除内容自动屏蔽

作者: shan 时间: 2016-1-21 09:01
哇，折磨厉害的病毒啊，我也百度一下学习。话说偶从来就没有中毒过哎。

作者: ggmm888 时间: 2016-1-22 09:02
可以先行命令行打印当前启动进程用 tasklist /v >c:\tasklist.txt 附加WMIC PROCESS >C:\TASKLIST2.TXT 再详细的是AUTORUNS软件报告全部启动

tasklist.rar

1.5 KB, 下载次数: 2, 下载积分: 无忧币 -2

TASKLIST2.rar

9.16 KB, 下载次数: 2, 下载积分: 无忧币 -2

作者: ggmm888 时间: 2016-1-22 09:12
AUTORUNS软件报告全部启动

z.jpg (605.9 KB, 下载次数: 73)

z1.jpg (628.33 KB, 下载次数: 71)

z2.jpg (570.4 KB, 下载次数: 70)

z3.jpg (563.98 KB, 下载次数: 92)

z4.jpg (557.07 KB, 下载次数: 81)

z5.jpg (548.6 KB, 下载次数: 71)

z6.jpg (551.6 KB, 下载次数: 86)

作者: ggmm888 时间: 2016-1-22 10:01
本帖最后由 ggmm888 于 2016-1-22 10:21 编辑

杀毒软件隔离区和杀毒记录，这里面都没有东西，由于当天不是我操作电脑，他只是说我看电影了。电脑就是卡，就这个线索

虚拟内存也给加密了

z7.jpg (31.78 KB, 下载次数: 69)

作者: ggmm888 时间: 2016-1-23 08:44
所有分区匀无此pagefile.sys文件，这个文件也是同时刻加密的

z8.jpg (185.68 KB, 下载次数: 116)

作者: 指南针 时间: 2016-1-23 15:28
目测可能是被偏移了，找到偏移量再偏移回去应该有救。先拷贝部分数据做做实验看看呢

作者: ggmm888 时间: 2016-1-23 20:10
本帖最后由 ggmm888 于 2016-1-23 20:15 编辑

dir/a c:\pagefile.sys >cpfile.txt
提示找不到页面文件

md c:\pagefile.sys第一次无提示，第二次提示已有此文件

hiberfil.sys这个象是虚拟内存文件

dir /ad c:>cdir.txt
C盘没有创建cdir.txt

目测可能是被偏移了，找到偏移量再偏移回去应该有救。先拷贝部分数据做做实验看看呢
两块硬盘，并不是分区所有内容加密

z9.jpg (185.35 KB, 下载次数: 70)

z10.jpg (40.58 KB, 下载次数: 77)

作者: ggmm888 时间: 2016-1-23 20:31
看不到虚拟内存文件

z11.jpg (614.65 KB, 下载次数: 64)

作者: ggmm888 时间: 2016-1-24 11:15
上传注册表文件

z12.jpg (44.17 KB, 下载次数: 117)

z13.jpg (51.81 KB, 下载次数: 70)

a.rar

588 Bytes, 下载次数: 1, 下载积分: 无忧币 -2

作者: ggmm888 时间: 2016-1-24 19:22
远程有可能数据恢复出来吗

作者: ggmm888 时间: 2016-1-25 16:30
上传一个记事本文件和这个文件加密后的样子（里面多着那张要比特币的图）

新建文件夹 (3).rar

44.03 KB, 下载次数: 3, 下载积分: 无忧币 -2

欢迎光临无忧启动论坛 (http://bbs.wuyou.net/)