Aiuto cryptolocker

[BOBBYS]

Sembra che quando CryptoWall cifra un file prima fa una copia di esso, codifica la copia, e quindi elimina l'originale
Se non hai usato troppo il PC prova anche con un programma di recupero file se riesci a recuperare le copie originali eliminate.

 

[sk8erboy]

errato.... windows 8 non ha la versione provvisoria come gli altri windows... per avere la versione provvisoria con F8 bisogna eseguire un passaggio... ma prima dell'incidente.... con win 8 la modalita provvisoria si accede solo dal sistema operativo

Con Windows 8 se si inserisce un comando dal prompt si può entrare in modalità provvisoria come i vecchi windows

 

[BOBBYS]

Con Windows 8 se si inserisce un comando dal prompt si può entrare in modalità provvisoria come i vecchi windows

Con Windows 8
Per abilitare tasto F8 -> prompt (come amministratore)
-> digitare -> bcdedit /set {default} bootmenupolicy legacy + invio

Per disabilitare tasto F8 -> prompt (come amministratore)
-> digitare -> bcdedit /set {default} bootmenupolicy standard + invio

oppure
Dalla barra laterale (WIN+C) scegliere
-> IMPOSTAZIONI -> Modifica impostazioni PC -> Generale -> Avvio avanzato -> Riavvia ora
il PC si riavviera' visualizzando la schermata con le impostazioni di avvio dove sara' possibile scegliere la modalita' provvisoria

 

[mosquito]

Per prima cosa, fai una copia dell'HD, anche se è criptato. Questo per evitare che urante le prove potresti perdere i file.
In secondis, controlla su un file da te conosciuto, se la data, il nome e la dimensione non sono stati modificati. Se sono gli stessi, hanno agito solo sulla prima coppia di byte dell' header. Recuperarli è possibile.
Un virus non può crittografare tutti i file, e' una chiave di registro che fa il tutto.
Se riesci, entra in modalità provvisoria con prompt dei comandi e senza supporto di rete. posizionati in "C:" e dai il comando "Dir". Vedi se i file in radice sono leggibili come nome, data e imensione. Poi prendine uno a caso e dai il comando "attrib[spazio]nome del file. Questo serve per vedere se hanno modificato un'altra porzione dell'header del file.

 

[mariolino84]

Per prima cosa, fai una copia dell'HD, anche se è criptato. Questo per evitare che urante le prove potresti perdere i file.
In secondis, controlla su un file da te conosciuto, se la data, il nome e la dimensione non sono stati modificati. Se sono gli stessi, hanno agito solo sulla prima coppia di byte dell' header. Recuperarli è possibile.
Un virus non può crittografare tutti i file, e' una chiave di registro che fa il tutto.
Se riesci, entra in modalità provvisoria con prompt dei comandi e senza supporto di rete. posizionati in "C:" e dai il comando "Dir". Vedi se i file in radice sono leggibili come nome, data e imensione. Poi prendine uno a caso e dai il comando "attrib[spazio]nome del file. Questo serve per vedere se hanno modificato un'altra porzione dell'header del file.

Non riesco a capire cosa hai scritto,riesci ad essere più chiaro.

 

[lele76]

entrando con una distribuzione live di linux...e cercare i file?

 

[mosquito]

Non riesco a capire cosa hai scritto,riesci ad essere più chiaro.

Se non capisci ciò che ho scritto, la vedo dura agire a basso livello.
Non resta che affidarti a qualche tool automatico.

Su un HD con 500 GB di dati, per crittografare tutti i files impiegherebbe più di un'ora bloccandoti il computer durante la fase di ricodifica.
Diversamente utilizza un'opzione di windows, dove basta impostare alcune chiavi nel registro per crittografare il tutto.