Witam dzisiaj włamał mi się ktoś na komputer i zablowal pliki, zrobił to w momencie gdy nie byłem przy komputerze gdy do niego powróciłem odrazu odpaliłem antywirusa który go usunol lecz pliki dalej są zablokowane(zajmuja miejsce na dysku). Chciałbym przywrócić moje dane ma ktoś jakiś pomysł oprócz kontaktowania się z włamywaczem.

Kopia zapasowa (jak masz) i reintalacja Windows?

Antywirus pewnie nie zamknął drogi wejścia “włamywacza”.

https://id-ransomware.malwarehunterteam.com/

Może wykryje co zainstalował / uruchomił włamywacz.

Napisz co usunął antywirus.
Tu masz stronę z dekryptorami ale każdy jest do innego ransomware. Trzeba znać nazwę.
https://www.bleepingcomputer.com/download/windows/ransomware-decryptors/
Oprócz tego logi z FRST.

Czyli wyszedłeś do sklepu po bułeczki, a jak wróciłeś, to pliki były zaszyfrowane?

Zszedłem zrobić obiad i wróciłem i były.

Samo się nic nie robi (no, może poza WannaCry). Nie otwierałeś ostatnio przypadkiem jakiejś nieznanej faktury, która przyszła mailem?

Chciałbym przywrócić pliki które miałem jak nie ma możliwości to dopiero wtedy zrobię reinstalację windowsa bo nie posiadam kopii zapasowej.

Ostatnio pobierałem cheaty do Cs prawdopodobnie w nich były.

To teraz zadanie nr 1: ustalić nazwę ransomware, który zaszyfrował Ci pliki.

Zobacz czy możesz przywrócić system, może przy aktualizacjach zrobiło z automatu jakąś kopię. Jak nie to jedyne prawdziwie działające rozwiązanie do reinstall.
PS: karma wraca za cheaty w CS.

Cheaty były do gry z kolegą na warsztatach społeczności.

Usuniętych plików przez antywirusa było bardzo dużo mogę wysłać cały raport od Malwarebytes.

powiesz mi jak

Skoro są zaszyfrowane, to zapewne mają jakąś końcówkę (np. fota_z_wakacji.jpg.ransom). Poszukaj też pliku, w którym zapisane są informacje jak skontaktować się z twórcą ransomware celem opłacenia okupu.

d-3H5ZL4MH.[Telegram_t.me_NuBeContact].biraj tak jest zakończony

Na tej stronie https://id-ransomware.malwarehunterteam.com/identify.php?case=d49f01b75fbd26b0fbbadd5a846dd656e3eb36b9
wyszło coś takiego Dharma (.cezar Family) It is recommended to backup your encrypted files, and hope for a solution in the future.

Identified by

• sample_bytes : [0xE80 - 0xEC0] 0x00000000020000000CFE7A410000000000000000000000002000000000000000
• custom_rule : Original filename “Spotify.lnk” after filemarker
  Notka nic nie wskazuje

Notka mowi, że plików na razie nie roszywrujesz (brak kluczy/deszyfratora).

Oczywiście może się mylić jak błędnie wykrywła infekcje (np. gdy to nie “dharma” / “cezar”).

czyli robić format i nie tracić czasu?

Jeśli zaszyfrowane pliki nie są szczególnie ważne, to format jest najlepszym rozwiązaniem.

Natomiast gdybyś chciał odzyskać zawartość tych plików, to zgraj je na inny nośnik, a sam system… patrz wyżej.

Acha… i to nie było włamanie. Sam wpuściłeś lisa do kurnika (ściągając i uruchamiając podejrzane pliki z sieci).

Jakie rozszerzenia mają zaszyfrowane pliki?