Перейти к содержанию

автомонтирование скрытых разделов после шифрвальщика


Владимир В. А.

Рекомендуемые сообщения

Владимир В. А.

После выкупа прислали дешифраторы, после запуска дешифратора на уже свежепоставленной win 10 при загрузке (перезагрузке) монтируются загрузочные разделы (которые по 100-500Мб) на буквы z y и так далее. 

Не могу понять, где это вычистить.. 

Автозагрузку смотрел, ничего подозрительно. Mount points проверял, вроде тоже ничего подозрительного (но это не точно), куда еще можно посмотреть?

 

До шифрования был ссд c вин7, после шифрования, ссд был отформатирован в GPT с тремя разделами - 1, EFI 100МБ, 2, раздел с системой 446ГБ, 3, "Раздел восстановления" 520МБ.

После перезагрузки 1 и 3 раздел получают буквы Z и Y, удаляю через diskpart, после перезагрузки снова оба появляются.

Ссылка на комментарий
Поделиться на другие сайты

12 минут назад, Владимир В. А. сказал:

удаляю через diskpart, после перезагрузки снова оба появляются.

а если cделать это через Управление компьютером - Управление дисками?

 

Посмотрите эту статью - https://www.outsidethebox.ms/21409/

Изменено пользователем andrew75
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Владимир В. А.
4 минуты назад, andrew75 сказал:

а если cделать это через Управление компьютером - Управление дисками?

через управление компьютером это сделать не представляется возможным, так как, для раздела 1 все поля (кроме справки) контекстного меню неактивные, а для раздела 3 в контекстном меню только справка

Ссылка на комментарий
Поделиться на другие сайты

4 минуты назад, Владимир В. А. сказал:

для раздела 1 все поля (кроме справки) контекстного меню неактивные, а для раздела 3 в контекстном меню только справка

что-то у вас не то с разделами.

Статью почитайте, я выше добавил ссылку.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Владимир В. А.
11 минут назад, andrew75 сказал:

что-то у вас не то с разделами.

Статью почитайте, я выше добавил ссылку.

О! Спасибо, надо было отключить в дискпарт автомонтирование, а не просто удалять буквы. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • PhernulNathral
      Автор PhernulNathral
      Папка "John" в директории Users появилась в 2022 году. В свойствах файлов написано 6 файлов внутри, а на самом деле только 1 - ntuser.dat
    • alexchernobylov
      Автор alexchernobylov
      Добрый день.
      Windows Server 2019
      Зашифрованы целые раздел с системой. Файловая система RAW. При включении появляется окно ввести пароль. Диски как будто зашифрованы BitLocker-ом.
      Один сервер скорее всего пробили по RDP, а второй сервер был без доступа по RDP и в другом домене (но на нем была виртуальная машина с RDP).
      Написал в телеграмм - просят 5000 долларов за восстановление 2 гипервизоров.
      Они спросили имя домена, серверов или их айпишники.
      Доступа к диску нет и файлы никакие не получить.
      Подскажите, пожалуйста, как справиться с данной заразой.


    • Garguha
      Автор Garguha
      Заметил что в простое происходит сильный нагрев и съедается около 20% процессора. После поисков проблем обнаружил 2 dwm.exe процесса один из которых и берёт на себя нагрузку. После прочтения нескольких статей форума не смог лично разобраться в решении проблемы.
      CollectionLog-2025.07.18-20.40.zip
    • hiveliberty
      Автор hiveliberty
      Доброго дня,
      Коллеги столкнулись вчера с интересным шифровальщиком

      Windows Server 2022
      Зашифрован целый раздел с системой. И судя по всему, даже не битлокером. Несколько отличается окно с предложением ввести пароль.
      С зашифрованного диска снял первые 4кб данных через dd с livecd debian.
      И тоже самое сделал для чисто установленной ос и тоже прикрепил для сравнения.
      Так же снял с загрузочного раздела BCD файл, который явно был изменён во время работы этой дряни.
      Файлы не исполняемые, но упаковал в архив с дефолтным паролем.
      Пробовал отправлять куски через Virustotal - ни одного срабатывания.
      Пока прикреплять не стал, согласно правилам)

      Доступа к диску, естественно, нет и файлы никакие не получить.
      Доступен только диск загрузчика и Recovery

      По большому счёту интересно, можно ли с этим что-то делать.
      И в целом, новое что-то?

      Коллеги связались с этими ребятами, те показали список файлов с паролями от каждого сервера.
      Те спросили имя домена, серверов или их айпишники.
      По имени домена предоставили список файлов с паролями, скрин.

    • DKOFFICIAL
      Автор DKOFFICIAL
      Здравствуйте, помогите пожалуйста, переустанавливал windows несколько раз, пробовал жесткий диск менять, не помогает ничего, поймал какой то вирус, когда поймал не было никаких антивирусов скачанных, и пошло поехала, начали запускаться программы и потом вовсе рабочий стол пропал и черный экран был, перезагрузил ноутбук стало все нормально резко, и с тех пор греется ноутбук, цп нагружается щас на все 100 бывает после того как проверяет антивирус на вирусы и то ничего не находит и то редко поднимается до 100, в большинстве случаев до 60-70 грузиться, а в обычном режиме ноута, грузиться память на 50%, и гудит вентилятор и греется ноутбук, хотя до этого всего не было такого от слова совсем, антивирусы не находят, пробовал через dr web и kaspersky, в основном с kaspersky, так как куплена подписка, бывает даже иногда мышка сама по себе ходит, 1 раз когда перезагрузил ноутбук, создался учетная запись и пароль стоял на ноутбуке, пришлось менять винду,не знаю уже что делать. Браузер когда запускаю, в диспетчере задач показывает что браузер открыт аж целых 20-30раз одновременно.Стало более менее когда поставил винду урезанную пиратскую, где больше приложений от windows урезана и удаленный доступ отключен, ноутбук не старый, i5-12450h процессор, 16гб оперативки.
×
×
  • Создать...