记事本文件变成这个样如何恢复(CrypToWall病毒)

ggmm888 · 发表于 2016-1-15 21:27:01

本帖最后由 ggmm888 于 2016-1-17 18:50 编辑

如题,所有硬盘的记事本文件全变成这样了(还有exe文件，还有压缩文件)，如何清除CrypToWall病毒？如何恢复数据呀

shan · 发表于 2016-1-15 22:04:38

只是失去文件关联而已，百度一下方法和工具就可以了。手机上的，帮不了忙了。

ggmm888 · 发表于 2016-1-15 22:06:18

本帖最后由 ggmm888 于 2016-1-15 22:09 编辑

仔细看一下，后缀名全都变了,还有一部分相同文件没有变还可以正常使用，只要是这个时间变的文件全部不能使用了

fuldho · 发表于 2016-1-15 23:53:36

上招了！

pcfan120 · 发表于 2016-1-16 00:23:49

后缀名全都变了,是中毒搞的吗

一代宗师 · 发表于 2016-1-16 08:33:52

中毒

lanmeizhuangyua · 发表于 2016-1-16 08:38:51

中毒太深了

ggmm888 · 发表于 2016-1-16 08:41:10

本帖最后由 ggmm888 于 2016-1-16 08:51 编辑

使用PE查看文件还是这样的（应该不是失去文件关联造成的），好像是随机的乱码，就是中毒，有办法恢复吗？文件太多损失太严重了。
病毒改成这样，自己都不知是什么了，硬盘这么多的东西都不能用，急呀

ggmm888 · 发表于 2016-1-16 08:57:42

用WINHEX打开，里面也是乱码，还有希望恢复吗？

ggmm888 · 发表于 2016-1-16 12:03:45

本帖最后由 ggmm888 于 2016-1-16 12:12 编辑

应不是硬盘损坏，两块硬盘全部成这样了。全是一个时间点做的（被改文件时间点有半个小时之久）。有没有好办法恢复数据

这是什么病毒，这么缺德。多年的资料一下全没有了

现在还可以使用这台中毒的电脑上网

vaf · 发表于 2016-1-16 19:19:33

养成备份的好习惯吧.
假如有一天硬盘突然挂了, 后果比这个一点不逊.

shan · 发表于 2016-1-16 23:06:16

哇，原来这样啊！咨询下HXJ大大吧！别的偶也不知道谁是杀软高手哎！

ggmm888 · 发表于 2016-1-17 07:30:52

本帖最后由 ggmm888 于 2016-1-17 08:01 编辑

被破坏的文件里这张图,下面所说是真的吗？

当你打开电脑里面的一张图片，看到里面有系列英文，其中开头是What happened to your files ?.......

不用再往下看了，你已经中了勒索软件CryptoWall病毒了，别想解密或者修复你电脑感染的文件，除非该文件对于非常非常重要，否则重新分区格式化硬盘重装系统重装系统，如果一定要找回文件，那只好听听话话的给勒索者支付美金吧，别尝试找人修复，那是徒劳无用的。

这就是随便浏览网站，随便下载安装软件的代价了。提示下：这个黑客锁住的文件，基本是所有你需要的文件，你不需要的文件，她是不会枷锁的。这个勒索软件CryptoWall是很容易杀掉，但被它感染的文件就没法修复了。

ggmm888 · 发表于 2016-1-17 08:04:39

本帖最后由 ggmm888 于 2016-1-17 20:56 编辑

谁有杀CrypToWall病毒的方法，还有解密工具。我是中的是那个版本？

我想全部清理一下CrypToWall病毒，不要让它再破坏了

金山杀毒软件也没查出病毒来

ggmm888 · 发表于 2016-1-19 20:32:39

本帖最后由 ggmm888 于 2016-1-19 21:04 编辑

CrypToWall病毒
我中的是那个版本

这种加密是入侵到电脑，人工加密。还是这个工具自动加密的。个人感觉像是入侵似的。全把有价值的加密了

ggmm888 · 发表于 2016-1-21 08:13:55

一个记事本文档被加密成这样子，活体病毒，不知到那里找，可明示。我现在就是使用的是已中毒系统。我真的想知他是不是入侵到电脑，查看重要文件后加密的

gd小兵 · 发表于 2016-1-21 08:35:53

ggmm888 发表于 2016-1-19 20:32
CrypToWall病毒
我中的是那个版本

这是勒索病毒了，中了这处必须马上关机，进PE，尽可能减小篡改文件的可能性，马上重新安装系统，数据重要的就乖乖的交钱吧，好像是限定时间的，过了时间就没办法恢复了。

gd小兵 · 发表于 2016-1-21 08:39:42

ggmm888 发表于 2016-1-17 08:04
谁有杀CrypToWall病毒的方法，还有解密工具。我是中的是那个版本？

我想全部清理一下CrypToWall病毒，不 ...

360可以查杀出来的

hai2002713 · 发表于 2016-1-21 08:46:48

提示: 作者被禁止或删除内容自动屏蔽

shan · 发表于 2016-1-21 09:01:58

哇，折磨厉害的病毒啊，我也百度一下学习。话说偶从来就没有中毒过哎。

ggmm888 · 发表于 2016-1-22 09:02:56

可以先行命令行打印当前启动进程用 tasklist /v >c:\tasklist.txt 附加WMIC PROCESS >C:\TASKLIST2.TXT 再详细的是AUTORUNS软件报告全部启动

ggmm888 · 发表于 2016-1-22 09:12:45

AUTORUNS软件报告全部启动

ggmm888 · 发表于 2016-1-22 10:01:44

本帖最后由 ggmm888 于 2016-1-22 10:21 编辑

杀毒软件隔离区和杀毒记录，这里面都没有东西，由于当天不是我操作电脑，他只是说我看电影了。电脑就是卡，就这个线索

虚拟内存也给加密了

ggmm888 · 发表于 2016-1-23 08:44:50

所有分区匀无此pagefile.sys文件，这个文件也是同时刻加密的

指南针 · 发表于 2016-1-23 15:28:02

目测可能是被偏移了，找到偏移量再偏移回去应该有救。先拷贝部分数据做做实验看看呢

ggmm888 · 发表于 2016-1-23 20:10:37

本帖最后由 ggmm888 于 2016-1-23 20:15 编辑

dir/a c:\pagefile.sys >cpfile.txt
提示找不到页面文件

md c:\pagefile.sys第一次无提示，第二次提示已有此文件

hiberfil.sys这个象是虚拟内存文件

dir /ad c:>cdir.txt
C盘没有创建cdir.txt

目测可能是被偏移了，找到偏移量再偏移回去应该有救。先拷贝部分数据做做实验看看呢
两块硬盘，并不是分区所有内容加密

ggmm888 · 发表于 2016-1-23 20:31:23

看不到虚拟内存文件

ggmm888 · 发表于 2016-1-24 11:15:12

上传注册表文件

ggmm888 · 发表于 2016-1-24 19:22:04

远程有可能数据恢复出来吗

ggmm888 · 发表于 2016-1-25 16:30:25

上传一个记事本文件和这个文件加密后的样子（里面多着那张要比特币的图）

		自动登录	找回密码
密码			注册

hai2002713 hai2002713 当前离线积分 7635 IP卡狗仔卡	19^# 发表于 2016-1-21 08:46:48 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
hai2002713 hai2002713 当前离线积分 7635 IP卡狗仔卡
	回复使用道具举报显身卡

[求助] 记事本文件变成这个样如何恢复(CrypToWall病毒)

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评