è un po' drastica come soluzione, ma su bleepingcomputer dicono che il virus crea delle copie dei file prima di fare l'encrypt e poi le cancella.
Probabilmente con photorec qualcosa si riesce a recuperare, anche se il metodo è un po' poco ortodosso.
non è che fa delle copie, cripta i file originali e poi li cancella
ho provato con vari tool ma non si trova una sega, forse era troppo tardi o forse si son presi la briga di sovrascriverli
EDIT: oggi un altro, voleva anche pagare ma non c'erano le istruzioni
ne come sfondo ne come file html :\
forse un altro tecnico software aveva tolto tutto
ed erano due xp
ho provato con vari tool ma non si trova una sega, forse era troppo tardi o forse si son presi la briga di sovrascriverli
EDIT: oggi un altro, voleva anche pagare ma non c'erano le istruzioni
ne come sfondo ne come file html :\
forse un altro tecnico software aveva tolto tutto
ed erano due xp
prova icare data recovery, ma lo devi fare da un altro sistema, quindi devi staccare il disco con i file criptati ed allacciarlo anche usb in un altro.
edit: nel mio caso tirai fuori dati da un filesystem completamente distrutto, sicuro servirà anche qui
già fatto via usb con file scavanger e recuva, nulla :\
Se li sovrascrive col cazzo che li recuperi :\
molto più probabilmente il cliente ha usato il pc per un po' dopo aver beccato il locker, di conseguenza la roba è stata sovrascritta.
Anche da me ne sono arrivati un po'.
I più gravi sono stati il commercialista e il funzionario della siae(segretamente godo, ma anche no porello).
ciao a tutti
vi aggiorno la situazione, abbiamo recuperato il 95% dei dati da un backup recente e pertanto va bene così. Sembra inoltre che non sia più possibile a procedere con il pagamento, il server dove avviene il pagamento è offline da qualche ora (forse li hanno già scoperti chi di dovere). Confermo inoltre che questo virus non cancella i file ma li comprime direttamente a zero criptandoli, pertanto è inutile cercare di recuperare file che non sono stati di fatto cancellati.
Teniamo comunque da parte l'HD con i dati criptati, magari in futuro esce un tool di decrypt...
Da questa esperienza si evince che il backup giornaliero è senz'altro fondamentale per ogni azienda, e anche per casa ovviamente.
Un caro saluto a tutti
vi aggiorno la situazione, abbiamo recuperato il 95% dei dati da un backup recente e pertanto va bene così. Sembra inoltre che non sia più possibile a procedere con il pagamento, il server dove avviene il pagamento è offline da qualche ora (forse li hanno già scoperti chi di dovere). Confermo inoltre che questo virus non cancella i file ma li comprime direttamente a zero criptandoli, pertanto è inutile cercare di recuperare file che non sono stati di fatto cancellati.
Teniamo comunque da parte l'HD con i dati criptati, magari in futuro esce un tool di decrypt...
Da questa esperienza si evince che il backup giornaliero è senz'altro fondamentale per ogni azienda, e anche per casa ovviamente.
Un caro saluto a tutti
ma c' è qualcuno che sia riuscito a recuperare i dati con il metodo dei "file non sovrascritti" ?
secondo me è fatto ad hoc per non renderlo possibile
secondo me è fatto ad hoc per non renderlo possibile
per quanto mi riguarda i server sono down da ieri pomeriggio, a parte la sera verso mezzanotte che sono andati per un bel po'
e soprattutto la risorsa del backup non deve essere accessibile dai client h24
oppure fare un utente con i permessi per accedere a quel backup, oppure gestire meglio i permessi del nas
EDIT: che poi basterebbe un windows 7 con la protezione sistema impostata al 5% del disco, li tranquillamente si recuperano i dati, magari vecchi di una o due settimane ma sempre meglio di nulla
Nel ns. caso il server era un obsoleto Win Server 2003, non esistono copie shadow come non si può usare shadow explorer. L'utente coinvolto aveva una unità di rete su una cartella di questo server che di fatto è stata cryptata. Questo CTB-Locker agisce infatti su tutte le unità del PC, dai dischi locali, memorie USB, e purtroppo anche sulle cartelle di rete...
rimangono sempre delle sottotracce, come accadeva per le vecchie musicassette, tant'evvero che i software di recupero scavano anche per 4-5 giorni continuativi per trovare qualcosa
nopenopenope
se un bit è sovrascritto c'è poco da fare
forse forse si può analizzare il magnetismo residuo o cazzate varie ma sicuramente non si fa via software, c'è da aprire il disco e utilizzare strumenti appositi
sugli ssd, per come funzionano, dopo qualche minuto il dato è distrutto
se un bit è sovrascritto c'è poco da fare
forse forse si può analizzare il magnetismo residuo o cazzate varie ma sicuramente non si fa via software, c'è da aprire il disco e utilizzare strumenti appositi
sugli ssd, per come funzionano, dopo qualche minuto il dato è distrutto
non credo sia fatto apposta per non renderlo possibile , ma semplicemente visto che viene fatto un re-write di quasi tutti i file ma uno alla volta solo una notevole dose di culo fa si che i file vengano scritti su altri settori del disco..
spero che nessuno che lavora in dropbox si faccia fregare, se no sono fottuto
Abu quello che hai beccato te è la variante 2.0 che hanno releasato a novembre, non si può recuperare un cazzo manco tramite shadow copy proprio perchè cripta e poi cancella.
Siete nella merda
Siete nella merda
Una volta funzionava https://www.decryptcryptolocker.com/ ma credo per la versione 1.0, altrimenti l'unica cosa che si può fare è prevenzione usando dei tools o giostrando con le GPO MA a posteriori dall'infezione se è la 2.0 SONO CAZZI AMARI se è la 1.0 Shadow Explorer e gg nore ma non pensiate che si possano recuperare tutti i files..
Edit : Tralasciando ovviamente Backup daily o VM ; ovviamente se tenete il disco dei backup attaccato al pc che poi si infetta vincete il premio GAC 2015
Edit : Tralasciando ovviamente Backup daily o VM ; ovviamente se tenete il disco dei backup attaccato al pc che poi si infetta vincete il premio GAC 2015
Non si può tornare a versioni precedenti dei file su dropbox?
Si che si può, però c'è da fare in un certo modo
"Restore e poi controlli quali sono stati "editati" aka criptati" oppure usate lo script in phyton https://github.com/clark800/dropbox-restore che fa da solo
"Restore e poi controlli quali sono stati "editati" aka criptati" oppure usate lo script in phyton https://github.com/clark800/dropbox-restore che fa da solo
Consiglio anche http://download.bleepingcomputer.com/grinler/ListCrilock.exe per fare un check di quali files sono stati bloccati.