Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Jak odzyskać dane z dysku zablokowanego przez wirus?

alfa4ce 30 Lis 2010 19:40 5159 7
  • #1 30 Lis 2010 19:40
    alfa4ce
    Poziom 9  

    Jeden z dysków z danymi został zablokowany przez wirus.
    Dokładnie, dysk ten jest niewidoczny w systemie i nie ma do niego dostępu z poziomu eksploratora, pomimo że np. program HDTune ma go w swoich zasobach.
    Dysk jest sprawny. SMART test bez zastrzeżeń.
    Dysk nie jest dyskiem systemowym.

    Po odłączeniu dysku systemowego pojawia się przy próbie bootowania taki komunikat:

    Code:
    Your PC is blocked.
    
    All the hard drives were encrypted.
    Browse www. safe-data. ru to get an access to your system and files.
    Any attempt to restore the drives using other way will lead to inevitable data loss.
    Please remember: Your ID: 773923
    with its help your sign-on password will be generated. Enter password:


    Podane w komunikacie ID jest stałe i pojawia się w innych zgłoszeniach, które można znaleźć w Internecie.
    Dysk nie jest zaszyfrowany, tak jak jest napisane w komunikacie.
    Z poziomu programu DMDE widoczne są całe zasoby tego dysku, a pliki można pojedynczo odzyskać.

    Jak można przywrócić dostęp do plików na takim dysku?

    .

    0 7
  • #2 30 Lis 2010 19:53
    yogi009
    Poziom 42  

    Odpal komputer z jakiejś płyty z linuksem ratunkowym i ściągnij dane na bezpieczny nośnik, a potem to ja bym walcem taki dysk. Pewnie można się z tym jakoś bawić, ale walec, to walec.

    0
  • Pomocny post
    #3 30 Lis 2010 20:33
    helmud7543
    Poziom 42  

    To ransomware - złośliwe oprogramowanie służące wyłudzaniu pieniędzy.
    Przeczytaj ten post: Link. Jak nie pomoże będziemy próbować dalej.

    0
  • #4 01 Gru 2010 00:32
    Radsomware killer
    Poziom 1  

    UWAGA!! próbujesz na własną odpowiedzialność.

    "Your PC is blocked. All the hard drives were encrypted. Browse www.[CENSORED].ru to get an access to your system and files. Any attempt to restore the drives using other way will lead to inevitable data loss !!!

    "Please remember your ID: ##### [where # is a digit], with its help your sign-on password will be generated. Enter password: _"

    Jeżeli widzisz tą wiadomość przy starcie kompa to znaczy że złapałeś parszywego i dość paskudnego wira tzw. Ransomware (Ransom-okup). Ale głowa do góry po kolei opis jak sobie z tym poradzić,a przyajmniej opisze jak ja sobie z tym poradziłem.


    Można spróbować przez kaspersky'ego, ok ale dla Windowsa 7, tą wersje wira(30.11.2010) (nie działają już passwordy ) rozpracowałem poprzez wiersz poleceń win 7 recovery.Wiemy że wirus zastępuje dane MBR swoimi, więc jedyne co pozostaje to przywrócenie MBR za pomocą płyty win 7 i wspomnianego Win7 recovery(lub dla innych systemów przy pomocy kasperskiego, lub innego programu typu anti-malware). Dyski (co potwierdza specjalista od Kasperskiego w linku powyżej, a co można sprawdzić korzystając z płyty linuksa, lub spod dosa) na szczęście nie są zakodowane jak podaje wiadmość"encrypted"(gdyby były nie mielibyśmy dostępu do danych) więc mówiąc krótko utrata danych nam nie grozi.

    Teraz co należy zrobić:

    -ustawiamy w biosie first boot device: CD i wkładamy naszego wina 7 do naszego napędu CD/DVD, następnie uruchamiamy opcje repair (napraw) i dalej do wiersza poleceń.

    - w wierszu poleceń należy wpisać komendy:

    Bootrec.exe / fixmbr
    i
    Bootrec.exe / fixboot

    Jeżeli fixboot nie zadziała jeszcze nic straconego.zostawiamy płytę w napędzie i uruchamiamy ponownie.

    UWAGA
    Jeżeli ktoś posiada partycje recovery to może po przywróceniu MBR z niej skorzystać, jednak zalecam nie przywracanie za pomocą recovery dopóki można przywrócić stan kompa sprzed kilku dni (dzałając zgodnie z poniższą instrukcją), bo recovery to z reguły gołe systemy.Partycje recovery zostawiamy jako ostatnią deskę ratunku.


    Teraz powinna zniknąć wiadomość od brazylijsko-ruskich terrorystów i pojawić sie okienko wyboru startu wina normalnie lub naprawa (repair), próbujemy normalnie...

    Gdy już pojawia się niebieski ekran, kursor a nawet klepsydra a oczyma wyobraźni już widzimy "zapraszamy!", nastąpi pewnie reset kompa(zonk!), powtarzamy operacje uruchomienia komputera, tyle że tym razem wybieramy napraw, dajemy programowi "ponaprawiać" i znowu próbujemy uruchomić wina normalnie.Prawdopodobnie znowu reset,wiec znowu repair i czekamy. W końcu po 3-4 naprawie zapyta nas czy chcemy przywrócić parametry bezpieczne sprzed kilku dni bez utraty danych, klikamy ok i uruchamiamy wina normalnie. Sprawdzone na 2 zawirusowanych kompach 30.11.2010 i w obu przypadkach zadziałało.

    i po sprawie:)

    UWAGA!! próbujesz na własną odpowiedzialność.

    -1
  • #5 01 Gru 2010 15:00
    alfa4ce
    Poziom 9  

    Może odpowiem po kolei...

    Do yogi009
    Nie przeczę, że rozwiązanie jest dość proste i myślę, że mogłoby być skuteczne, pod warunkiem jednak, że pracujemy na którymś z komputerów na Linuksie lub mamy sprawdzoną i działającą na naszym sprzęcie dystrybucję.
    Bez tego, raczej daremny trud - zrobiłem 2 próby, obie nieudane, jednak daje to do myślenia, może czas na przesiadkę.


    Do helmud7543
    Tak, dokładnie - to ransomware. Sprawdziłem hasła z artykułu, który podesłałeś - u mnie, jak też u niektórych innych użytkowników nie zadziałały.
    Wieczorem pobrałem aktualizację do Malwerbytes A-M i wtedy usunąłem wpisy do rejestru Trojan.Ransom.Boot (sygnatury z przedpołudnia jeszcze tego nie znajdowały).

    Widzę, że pozostaje tylko naprawa MBR. W komentarzach do artykuły kilka minut temu pojawiło się rozwiązanie przy pomocy "Acronis Disk Director Suite".
    Spróbuję to zastosować.

    Do Radsomware killer
    Dzięki za dokładną procedurę - gdybym miał Win7, to bym ją zaraz zastosował. Ale może przyda się też innym osobom.

    Biorę się do roboty. Poinformuję o sukcesie lub trudnościach.

    0
  • #7 01 Gru 2010 19:49
    alfa4ce
    Poziom 9  

    OS - Windows XP. System plików NTFS.
    Nie wiem dokładnie czy ma to związek, ale na tym dysku nie mam systemu operacyjnego - tylko dane.

    Dodano po 2 [godziny] 2 [minuty]:

    Sukces. Jest pełen dostęp do danych.

    Użyłem programu Acronis Disk Director Suite według instrukcji zawartej w odpowiedzi użytkownika Juan w wątku, do którego link podał helmud7543 - dzięki, to był dobry trop.

    Procedura jest prosta: należy działać w trybie manual. Na początek wybrać dysk, potem prawym klawiszem z menu kontekstowego Zaawansowane i opcję Recover, następnie manual, a potem fast - i zatwierdzić zmiany.
    Nie robiłem nic więcej, bo dalsze kroki procedury Juana nie były dla mnie jasne.

    Po tej operacji wydawało się, że jest OK, jednak po restarcie komputera z podpiętym tylko tym dyskiem (przypominam, że nie ma na nim systemu) nie otrzymałem spodziewanego komunikatu typu:

    Code:
    Disk boot failure, insert system disk itd...

    tylko znajomy napis "Your PC is blocked. All the hard drives... bla-bla..."

    System mimo to poradził sobie z identyfikacją dysku i po kolejnym restarcie dysk był widoczny.

    Podsumowując - dysk jest widoczny w systemie, jest dostęp do danych, jednak sygnatura wymuszacza okupu pozostała.

    Czy można (lub trzeba) ją jakoś usunąć? Jak to zrobić?
    Czy warto sobie tym zawracać głowę?
    Proszę o opinie.

    0
  • #8 02 Gru 2010 17:26
    alfa4ce
    Poziom 9  

    Problem, o kótrym pisałem w ostatnim moim poście przestał istnieć bez mojej interwencji. Kiedy dziś uruchomiłem komputer aby ostatecznie rozprawić się z szkodnikiem, okazało się że komunikat już się nie wyświetla. Sprawdziłem podgląd początkowych sektorów dysku i wpisu tam nie znalazłem.

    Moja porada dla tych, którym przyjdzie zmierzyć się z problemem.
    Do usunięcia problemu potrzebne są 2 programy (choć w moim przypadku wystarczył jeden, ten pierwszy):
    1. Acronis Disk Director Suite
    2. MBR Utility

    Oba te programy są w pakiecie naprawczym Hirens Boot CD, jednak wydanie 12-te to już ponad 360MB do pobrania.
    Wygodniej jest znaleźć je i pobrać oddzielnie, wgrywając na dysk startowy USB.

    Instrukcje - co i jak - znajdują się w tym wątku oraz pod linkami zewnętrznymi.
    Instrukcja na YT demonstruje zagadnienie krok po kroku.

    0