Windows 10 non si avvia, non riesco a riparare il boot nemmeno dal prompt

[kamel33]

Ciao a tutti,

ho un problema con l’avvio di windows, ogni volta che provo ad accendere il pc mi spunta la schermata di windows boot manager (che allego).


Il pc nonostante sia stato infettato dal virus Crypt0l0cker funzionava “correttamente” e stavo cercando di rimuovere il virus proprio in questi giorni. Ho lasciato il pc incustodito ed ho trovato il mio cuginetto che si divertiva a spegnere ed accendere più volte il pc.. da quel momento è apparsa la schermata che ho allegato.

Ho provato a ripristinare con il cd di windows 10 sia con le opzioni di ripristino guidate sia tramite il prompt dei comandi. Ho usato i vari comandi bootrec /fixboot bootrec/fixmbd (vado a memoria) e tantissimi altri comandi che non hanno funzionato, tra cui il bootrec /rebuildbcd che dopo la richiesta “aggiungere l’installazione all’elenco di avvio” e la risposta “s” tramite terminale, restituisce il messaggio “impossibile trovare il dispositivo di sistema richiesto”.

Potrei estrapolare i dati e formattare… ma ho necessità di avviare il sistema, rimuovere il virus e decriptare i file che se no rimarrebbero corrotti.

Spero che qualcuno mi possa aiutare, grazie mille in anticipo. H

[x_Master_x]

Prova in questo modo:
http://www.hwupgrade.it/forum/showpo...92&postcount=2

Sei stato infettato da un cryptlocker, quale? Come fai ad essere sicuro che riuscirai a decriptare i dati? Ed inoltre perché hai bisogno del PC infetto per decriptare i dati?

Devi essere fortunato ad avere una variante con falle che permette la decriptazione ma sono veramente pochissime ( una paio ma di qualche anno fa ) che richiedono chiavi di registro e/o file del PC infetto per eseguire la decriptazione. Vedi thread ufficiale qui:
http://www.hwupgrade.it/forum/showthread.php?t=2763407

[Unax]

sicuro che ti serva il pc infetto per la decriptazione?

[kamel33]

Intanto grazie mille per la risposta.

Ho seguito la procedura suggerita da x_Master_x, tutto ok nell'inserimento delle prime quattro righe. Non appena provo ad inserire la quinta riga, questa per intenderci: BCDEDIT /store C:\boot\bcd.temp /import C:\boot\bcd.temp
mi viene fuori questo messaggio:


Ho continuato comunque ad andare avanti con le altre righe ma mi ha restituito questi errori:


Riavviando il pc, la schermata di errore è cambiata cosi:




Non sono sicuro di riuscire a recuperare i dati, ma spero di farlo in qualche modo perchè ci sono tantissimi file di lavoro che devo recuperare necessariamente. Pensavo che il modo "più semplice" per farlo sia quello di ripristinare il pc e cercare di lavorarci con il sistema funzionate. Se voi avete altre idee o altre procedure, per favore, ditemele. La mia priorità è solo recuperare i file criptati.

Grazie mille per l'aiuto che mi state dando.

[x_Master_x]

Le immagini non si vedono quindi non ti so dire, se fallisce l'import è normale che continuando gli errori si susseguono a catena. Ricordo inoltre:

Quote:

Originariamente inviato da x_Master_x

Gli strumenti per ripristinare l'avvio dovrebbero essere lanciati da DVD o dalla partizione riservata dell'HDD per funzionare correttamente

Non hai risposto alla domanda più importante:

Sei stato infettato da un ransomware, quale?

In base al tipo di ransomware si può stabilire già adesso se è possibile decriptare i dati oppure no, molto probabilmente no a meno che non sei molto ( ma molto ) fortunato. Carica un file criptato su ID Ransomware oppure si può risalire tramite l'estensione se non puoi fare l'upload su quel sito.

[kamel33]

Riporto il link della cartella che contiene tutte le immagini su google drive, cosi non dovresti avere problemi di visualizzazione: https://drive.google.com/open?id=0By...2FucEpMOWNuTWM

Ho avviato il prompt dei comandi tramite il dvd.

L'estensione è .encrypted, nella cartella su drive troverai altre foto, che ho fatto quando il pc si avviava.

[x_Master_x]

Il ransomware è una variante di TorrentLocker che si chiama proprio Crypt0L0cker, usa l'estensione .encrypted. Non esistono soluzioni al momento per quella variante ergo al momento non riuscirai a decriptare i file, in futuro nessuno lo sa però ti posso dire che è in giro più di un anno e di solito le falle vengono scovate molto prima quindi è solo una flebile speranza. Sul thread dei ransomware indicato prima trovi dei tentativi da fare per chi è nella tua situazione vedi Cosa posso tentare per recuperare i file?

Riguardo al ripristino boot devo ri-controllare i comandi in VM, c'è qualcosa che non va. In caso di cambiamenti editerò quel post.

[tallines]

Se può servire c' è questo articolo abbastanza recente, dove dice >

Cryptolocker, di cui abbiamo parlato qualche settimana fa, è stato, incredibilmente, sconfitto: gli autori di tale, immonda, schifezza, hanno, a sorpresa, chiuso i server e dato le istruzioni per decriptare i file. Gli stessi autori hanno deciso di collaborare con le autorità dando le precise istruzioni per decriptare i file: se, quindi, siete ancora in possesso dei file criptati, ecco la guida che vi permetterà di riottenere l’accesso ai file.

Leggendo i commenti degli utilizzatori di tale procedura, qualcuno è riuscito a recuperare anche oltre 100 Gb di dati....altri utenti invece non hanno recuperato nulla.....

[x_Master_x]

tallines non dare false speranze
Nell'articolo si parla di TeslaDecoder dedicato a TeslaCrypt, lui è infetto da Crypt0L0cker con gli zero al posto delle o. Il titolo di quel sito fa riferimento ( sbagliando ) in modo generico a CryptoLocker come fosse sinonimo di ransomware.

Confermo un errore nella guida alla voce /import ed ho aggiunto qualche dettaglio in più, la sto editando qualche minuto per provare in VM.

EDIT: Post editato, tutto funziona correttamente con Windows 10
http://www.hwupgrade.it/forum/showpo...92&postcount=2

[tallines]

Quote:

Originariamente inviato da x_Master_x

tallines non dare false speranze
Nell'articolo si parla di TeslaDecoder dedicato a TeslaCrypt

Ahhh...è vero sorry

"Scompattate il file zip e aprite il tool TESLADECODER.EXE"...