Problema con virus crypto (probabilmente)

Francizio · 29-10-2019, 17:00

Buonasera,
stamani aprendo una mail in azienda è stato scaricato un file che è andato a cryptare dei (tanti) file di un gestionale che utilizziamo in rete. Ovviamente, nonostante sia stato aperto su un client, è sul server che è andato a fare le "modifiche".
Apparentemente, ciò che ha fatto è stato rinominare l'estensione dei file, aggiungendo un'estensione farlocca (in questo caso un .c9f35 alla fine di ogni file). Per cui tutti i jpg ora sono dei .jpg.c9f35, tutti i pdf son diventati .pdf.c9f35, tutti gli eseguibili dei .exe.c9f35, e così via.

Secondo me, il virus è presente solo sul client da cui è stato scaricato il file dalla posta. Difatti sul server solo i file della cartella del gestionale (che era in rete con il client) sono stati modificati. Un virus presente sul server avrebbe probabilmente attaccato anche altri software o file del S.O.

Per cui per ripristinare il server (almeno quello, i client potrebbero essere pure formattati) sarebbe sufficiente rimuovere questa estensione dai file che la contengono. In questo modo i jpg tornerebbero .jpg, i pdf dei .pdf, e via dicendo.
Chiaramente, essendo stati coinvolti centinaia di file, farlo manualmente è una mazzata.

Esiste qualche modo per poter "automatizzare" il processo?
Alla fine è un'operazione talmente banale che mi sembra strano non esista un modo per farlo.

dirac_sea · 29-10-2019, 18:09

Con Linux è una operazione banale fare quello che chiedi. Se avete (aveste) installato un server Linux siete (sareste) già a metà dell'opera. In alternativa, una workstation Linux che possa accedere via shell o ssh al contenuto del server avendo pieni permessi di lettura e scrittura su directory e files.

https://www.ostechnix.com/how-to-ren...once-in-linux/

Francizio · 29-10-2019, 18:42

Quote:

Originariamente inviato da dirac_sea

Con Linux è una operazione banale fare quello che chiedi. Se avete (aveste) installato un server Linux siete (sareste) già a metà dell'opera. In alternativa, una workstation Linux che possa accedere via shell o ssh al contenuto del server avendo pieni permessi di lettura e scrittura su directory e files.

https://www.ostechnix.com/how-to-ren...once-in-linux/

Lo so, utilizzavamo Linux prima che decidessero di passare a Windows.
Ad ogni modo, è un'operazione inutile quella che chiedevo, in quanto i file cryptati, anche nuovamente rinominati e ripristinati con l'estensione originale, restano corrotti e inutilizzabili.

Perseverance · 30-10-2019, 07:39

Non avete backup, non avete snapshot, non avete controllo accessi, non avete software adeguato; in questa situazione il guaio era già lì pronto ad accadere o per un virus o per una banale svista.

Se vi interessa riavere i file contattate Kaspersky o altra società e se è possibile vi creeranno un decipher apposito per quel virus specifico. Avrà un costo, valutate il dafarsi.

Da voi potete solo staccare la spina alla macchina incriminata senza più accenderla fino a nuove notizie.

Nicodemo Timoteo Taddeo · 30-10-2019, 11:54

Quote:

Originariamente inviato da Perseverance

Non avete backup, non avete snapshot, non avete controllo accessi, non avete software adeguato; in questa situazione il guaio era già lì pronto ad accadere o per un virus o per una banale svista.

Se in quella azienda c'è chi pensa che nei file criptati dal ransomware basta togliere l'estensione per farli tornare visibili, ci si spiega il perché di tutte quelle cose

Quote:

Per cui per ripristinare il server (almeno quello, i client potrebbero essere pure formattati) sarebbe sufficiente rimuovere questa estensione dai file che la contengono. In questo modo i jpg tornerebbero .jpg, i pdf dei .pdf, e via dicendo.

Unax · 30-10-2019, 12:55

vabbè se uno tiene una pistola nella cinta carica e senza sicura ogni tanto gli può capitare di spararsi sulle palle però vuoi mettere la comodità?

Comwave · 13-12-2019, 08:09

Ciao, io più di una volta ho risolto il problema del cryptolocker utilizzando le shadow copy del sistema che anche se non sono abilitate puoi recuperarle con shadow copy explorer.

lemming · 15-12-2019, 11:37

Le shadow copy funzionano bene, tranne che sul disco C. Abiliatare sul disco C, può comportare qualche problemino.
Se non si vuole spendere molto, basta fare dei backup su 2 dischi USB alternati, un giorno uno, il giorno successivo l'altro disco USB.

29-10-2019, 17:00	#1
Francizio Senior Member Iscritto dal: Oct 2007 Città: Messina (provincia) Trattative HWUpgrade: 29 Feedback eBay: 158 100% positivi Messaggi: 1886	Problema con virus crypto (probabilmente) Buonasera, stamani aprendo una mail in azienda è stato scaricato un file che è andato a cryptare dei (tanti) file di un gestionale che utilizziamo in rete. Ovviamente, nonostante sia stato aperto su un client, è sul server che è andato a fare le "modifiche". Apparentemente, ciò che ha fatto è stato rinominare l'estensione dei file, aggiungendo un'estensione farlocca (in questo caso un .c9f35 alla fine di ogni file). Per cui tutti i jpg ora sono dei .jpg.c9f35, tutti i pdf son diventati .pdf.c9f35, tutti gli eseguibili dei .exe.c9f35, e così via. Secondo me, il virus è presente solo sul client da cui è stato scaricato il file dalla posta. Difatti sul server solo i file della cartella del gestionale (che era in rete con il client) sono stati modificati. Un virus presente sul server avrebbe probabilmente attaccato anche altri software o file del S.O. Per cui per ripristinare il server (almeno quello, i client potrebbero essere pure formattati) sarebbe sufficiente rimuovere questa estensione dai file che la contengono. In questo modo i jpg tornerebbero .jpg, i pdf dei .pdf, e via dicendo. Chiaramente, essendo stati coinvolti centinaia di file, farlo manualmente è una mazzata. Esiste qualche modo per poter "automatizzare" il processo? Alla fine è un'operazione talmente banale che mi sembra strano non esista un modo per farlo. __________________

29-10-2019, 18:09	#2
dirac_sea Senior Member Iscritto dal: Aug 2008 Città: Lat.: 45° 42′ 15′′ N Long.: 9° 35′ 15′′ E Messaggi: 1387	Con Linux è una operazione banale fare quello che chiedi. Se avete (aveste) installato un server Linux siete (sareste) già a metà dell'opera. In alternativa, una workstation Linux che possa accedere via shell o ssh al contenuto del server avendo pieni permessi di lettura e scrittura su directory e files. https://www.ostechnix.com/how-to-ren...once-in-linux/ __________________ Ultrabook: Lenovo ThinkPad X220 - 8GB ddr3, Intel i5 2520M, ssd S3+ 240GB, OS MX-Linux 23.6_x64 Xfce Subnotebook: Sony Vaio VPC-YB1S1E - 8GB ddr3, AMD E-350, ssd OCZ Trion 100 120GB, OS Windows 10 Pro 22H2 64 bit NAS: Foxconn R30-A1 - Barebone SFF - AMD E-350, 4GB ddr3, hdd 4TB WD40EFRX, OS XigmaNAS 11.4.04 x64-embedded

30-10-2019, 07:39	#4
Perseverance Senior Member Iscritto dal: Jul 2008 Messaggi: 8143	Non avete backup, non avete snapshot, non avete controllo accessi, non avete software adeguato; in questa situazione il guaio era già lì pronto ad accadere o per un virus o per una banale svista. Se vi interessa riavere i file contattate Kaspersky o altra società e se è possibile vi creeranno un decipher apposito per quel virus specifico. Avrà un costo, valutate il dafarsi. Da voi potete solo staccare la spina alla macchina incriminata senza più accenderla fino a nuove notizie. __________________ System Failure Ultima modifica di Perseverance : 30-10-2019 alle 07:42.

30-10-2019, 12:55	#6
Unax Senior Member Iscritto dal: Oct 2008 Messaggi: 6349	vabbè se uno tiene una pistola nella cinta carica e senza sicura ogni tanto gli può capitare di spararsi sulle palle però vuoi mettere la comodità? __________________ Il Ragazzo con la giardinetta CIAO 2021 Una canzone d'amore (cover Tommy Johansson)

13-12-2019, 08:09	#7
Comwave Member Iscritto dal: Oct 2014 Messaggi: 67	Ciao, io più di una volta ho risolto il problema del cryptolocker utilizzando le shadow copy del sistema che anche se non sono abilitate puoi recuperarle con shadow copy explorer. __________________ Comwave Tripilare

15-12-2019, 11:37	#8
lemming Senior Member Iscritto dal: May 2006 Città: Timbuctu Messaggi: 2009	Le shadow copy funzionano bene, tranne che sul disco C. Abiliatare sul disco C, può comportare qualche problemino. Se non si vuole spendere molto, basta fare dei backup su 2 dischi USB alternati, un giorno uno, il giorno successivo l'altro disco USB.

Strumenti
Mostra una versione stampabile Invia questa pagina per email