Problema con virus crypto (probabilmente)

Francizio · 29-10-2019, 17:00

Buonasera,
stamani aprendo una mail in azienda è stato scaricato un file che è andato a cryptare dei (tanti) file di un gestionale che utilizziamo in rete. Ovviamente, nonostante sia stato aperto su un client, è sul server che è andato a fare le "modifiche".
Apparentemente, ciò che ha fatto è stato rinominare l'estensione dei file, aggiungendo un'estensione farlocca (in questo caso un .c9f35 alla fine di ogni file). Per cui tutti i jpg ora sono dei .jpg.c9f35, tutti i pdf son diventati .pdf.c9f35, tutti gli eseguibili dei .exe.c9f35, e così via.

Secondo me, il virus è presente solo sul client da cui è stato scaricato il file dalla posta. Difatti sul server solo i file della cartella del gestionale (che era in rete con il client) sono stati modificati. Un virus presente sul server avrebbe probabilmente attaccato anche altri software o file del S.O.

Per cui per ripristinare il server (almeno quello, i client potrebbero essere pure formattati) sarebbe sufficiente rimuovere questa estensione dai file che la contengono. In questo modo i jpg tornerebbero .jpg, i pdf dei .pdf, e via dicendo.
Chiaramente, essendo stati coinvolti centinaia di file, farlo manualmente è una mazzata.

Esiste qualche modo per poter "automatizzare" il processo?
Alla fine è un'operazione talmente banale che mi sembra strano non esista un modo per farlo.

dirac_sea · 29-10-2019, 18:09

Con Linux è una operazione banale fare quello che chiedi. Se avete (aveste) installato un server Linux siete (sareste) già a metà dell'opera. In alternativa, una workstation Linux che possa accedere via shell o ssh al contenuto del server avendo pieni permessi di lettura e scrittura su directory e files.

https://www.ostechnix.com/how-to-ren...once-in-linux/

Francizio · 29-10-2019, 18:42

Quote:

Originariamente inviato da dirac_sea

Con Linux è una operazione banale fare quello che chiedi. Se avete (aveste) installato un server Linux siete (sareste) già a metà dell'opera. In alternativa, una workstation Linux che possa accedere via shell o ssh al contenuto del server avendo pieni permessi di lettura e scrittura su directory e files.

https://www.ostechnix.com/how-to-ren...once-in-linux/

Lo so, utilizzavamo Linux prima che decidessero di passare a Windows.
Ad ogni modo, è un'operazione inutile quella che chiedevo, in quanto i file cryptati, anche nuovamente rinominati e ripristinati con l'estensione originale, restano corrotti e inutilizzabili.

Perseverance · 30-10-2019, 07:39

Non avete backup, non avete snapshot, non avete controllo accessi, non avete software adeguato; in questa situazione il guaio era già lì pronto ad accadere o per un virus o per una banale svista.

Se vi interessa riavere i file contattate Kaspersky o altra società e se è possibile vi creeranno un decipher apposito per quel virus specifico. Avrà un costo, valutate il dafarsi.

Da voi potete solo staccare la spina alla macchina incriminata senza più accenderla fino a nuove notizie.

Nicodemo Timoteo Taddeo · 30-10-2019, 11:54

Quote:

Originariamente inviato da Perseverance

Non avete backup, non avete snapshot, non avete controllo accessi, non avete software adeguato; in questa situazione il guaio era già lì pronto ad accadere o per un virus o per una banale svista.

Se in quella azienda c'è chi pensa che nei file criptati dal ransomware basta togliere l'estensione per farli tornare visibili, ci si spiega il perché di tutte quelle cose

Quote:

Per cui per ripristinare il server (almeno quello, i client potrebbero essere pure formattati) sarebbe sufficiente rimuovere questa estensione dai file che la contengono. In questo modo i jpg tornerebbero .jpg, i pdf dei .pdf, e via dicendo.

Unax · 30-10-2019, 12:55

vabbè se uno tiene una pistola nella cinta carica e senza sicura ogni tanto gli può capitare di spararsi sulle palle però vuoi mettere la comodità?

Comwave · 13-12-2019, 08:09

Ciao, io più di una volta ho risolto il problema del cryptolocker utilizzando le shadow copy del sistema che anche se non sono abilitate puoi recuperarle con shadow copy explorer.

lemming · 15-12-2019, 11:37

Le shadow copy funzionano bene, tranne che sul disco C. Abiliatare sul disco C, può comportare qualche problemino.
Se non si vuole spendere molto, basta fare dei backup su 2 dischi USB alternati, un giorno uno, il giorno successivo l'altro disco USB.

29-10-2019, 17:00	#1
Francizio Senior Member Iscritto dal: Oct 2007 Città: Messina (provincia) Trattative HWUpgrade: 29 Feedback eBay: 158 100% positivi Messaggi: 1865	Problema con virus crypto (probabilmente) Buonasera, stamani aprendo una mail in azienda è stato scaricato un file che è andato a cryptare dei (tanti) file di un gestionale che utilizziamo in rete. Ovviamente, nonostante sia stato aperto su un client, è sul server che è andato a fare le "modifiche". Apparentemente, ciò che ha fatto è stato rinominare l'estensione dei file, aggiungendo un'estensione farlocca (in questo caso un .c9f35 alla fine di ogni file). Per cui tutti i jpg ora sono dei .jpg.c9f35, tutti i pdf son diventati .pdf.c9f35, tutti gli eseguibili dei .exe.c9f35, e così via. Secondo me, il virus è presente solo sul client da cui è stato scaricato il file dalla posta. Difatti sul server solo i file della cartella del gestionale (che era in rete con il client) sono stati modificati. Un virus presente sul server avrebbe probabilmente attaccato anche altri software o file del S.O. Per cui per ripristinare il server (almeno quello, i client potrebbero essere pure formattati) sarebbe sufficiente rimuovere questa estensione dai file che la contengono. In questo modo i jpg tornerebbero .jpg, i pdf dei .pdf, e via dicendo. Chiaramente, essendo stati coinvolti centinaia di file, farlo manualmente è una mazzata. Esiste qualche modo per poter "automatizzare" il processo? Alla fine è un'operazione talmente banale che mi sembra strano non esista un modo per farlo. __________________

29-10-2019, 18:09	#2
dirac_sea Senior Member Iscritto dal: Aug 2008 Città: Lat.: 45° 42′ 15′′ N Long.: 9° 35′ 15′′ E Messaggi: 786	Con Linux è una operazione banale fare quello che chiedi. Se avete (aveste) installato un server Linux siete (sareste) già a metà dell'opera. In alternativa, una workstation Linux che possa accedere via shell o ssh al contenuto del server avendo pieni permessi di lettura e scrittura su directory e files. https://www.ostechnix.com/how-to-ren...once-in-linux/ __________________ Laptop: Sony Vaio VGN-FE21B - 2GB ddr2, CPU Intel T2500, Wi-Fi Intel 4965agn, ssd OCZ Trion 100 120GB, OS Windows 7 32 bit Subnotebook: Sony Vaio VPC-YB1S1E - 8GB ddr3, CPU AMD E-350, ssd OCZ Trion 100 120GB, OS Windows 8.1 64 bit NAS: Foxconn R30-A1 - Barebone SFF - AMD-E350, 4GB ddr3, 4TB Seagate HDD, OS Nas4Free 11.1.04 x64-embedded

30-10-2019, 07:39	#4
Perseverance Senior Member Iscritto dal: Jul 2008 Messaggi: 6125	Non avete backup, non avete snapshot, non avete controllo accessi, non avete software adeguato; in questa situazione il guaio era già lì pronto ad accadere o per un virus o per una banale svista. Se vi interessa riavere i file contattate Kaspersky o altra società e se è possibile vi creeranno un decipher apposito per quel virus specifico. Avrà un costo, valutate il dafarsi. Da voi potete solo staccare la spina alla macchina incriminata senza più accenderla fino a nuove notizie. __________________ System Failure Ultima modifica di Perseverance : 30-10-2019 alle 07:42.

30-10-2019, 12:55	#6
Unax Senior Member Iscritto dal: Oct 2008 Messaggi: 3168	vabbè se uno tiene una pistola nella cinta carica e senza sicura ogni tanto gli può capitare di spararsi sulle palle però vuoi mettere la comodità? __________________ Transbar per Win XP - Aprire due o tre cartelle contemporaneamente - Hasher - Startclock per XP Minivir sul mio blog - Il mio blog Alta Gradazione° - Tenere Aggiornato TrendMicro Sysclean Windows 8.1: Il cestino nella barra delle applicazioni e non sul desktop

13-12-2019, 08:09	#7
Comwave Member Iscritto dal: Oct 2014 Messaggi: 34	Ciao, io più di una volta ho risolto il problema del cryptolocker utilizzando le shadow copy del sistema che anche se non sono abilitate puoi recuperarle con shadow copy explorer. __________________ Comwave Tripilare

15-12-2019, 11:37	#8
lemming Senior Member Iscritto dal: May 2006 Città: Timbuctu Messaggi: 1339	Le shadow copy funzionano bene, tranne che sul disco C. Abiliatare sul disco C, può comportare qualche problemino. Se non si vuole spendere molto, basta fare dei backup su 2 dischi USB alternati, un giorno uno, il giorno successivo l'altro disco USB.

Strumenti
Mostra una versione stampabile Invia questa pagina per email