locked
TeslaCrypt RRS feed

  • Domanda

  • Salve mi chiedevo se è possibile dopo aver scansionato e recuperato file tramite appositi software ripristinare le vecchie copie shadow cancellate dal "TeslaCrypt" ho già recuperato buona parte della cartella "System Volume Information" ma devo farle leggere al sistema e non so come mi potete aiutare? Grazie.
    lunedì 8 febbraio 2016 09:42

Tutte le risposte

  • Ciao, non puoi andare a riscrivere il db delle shadow. Quindi al di la che col sysvol non ci fai nulla...al momento non hai soluzioni se ti sei preso il crypto. Se non:

    - usare shadowexplorer per vedere se hai effettivamente ancora delle shadow valide

    - avere un backup (direi essenziale)

    - pagare.

    Un po riduttiva come spiegazione se vogliamo, ma su un client queste sono le possibilità. Tutto il resto che trovi online è inutile.

    Ciao.

    A.

    lunedì 8 febbraio 2016 11:57
  • Grazie comunque

    Con Shadowexplorer ho già provato e niente tutto cancellato.

    lunedì 8 febbraio 2016 14:32
  • allora restano solo la due e la tre. Ma per la due è troppo tardi oramai...quindi o li dai per persi...oppure...

    Ciao.

    A.

    lunedì 8 febbraio 2016 15:49
  • Ciao MacClane,

    ti invito a dare un occhiata a questi due articoli

    Ransomware Teslacrypt 3.0: c'è chi può recuperare i dati - Tom's Hardware

    Centri di recupero dati: Contatti | MeggiatoLab

    Ovviamente, come potrai leggere, possono esser operazioni costose; ma se sei un professionista potrebbe valerne la pena

    Elvis



    Alvise Cervellati - MVP Windows Expert-Consumer

    lunedì 8 febbraio 2016 16:28
  • Ti ringrazio Alvise ma a quel punto conviene pagare, alcuni miei clienti negli ultimi anni sono incappati in qualche ransomware  e chi aveva veramente da perdere a deciso di pagare e ha effettivamente recuperato.

    Non credo convenga a chi infetta che si sappia in giro che il pagamento non serve.  

    lunedì 8 febbraio 2016 16:41
  • beh non credo convenga..certo: però i dati parlano chiaro, ricorda che hai a che fare con dei CRIMINALI.

    Ad ogni modo, se hai letto il primo articolo, viene indicato che è possibile anche un colloquio preventivo per capire le possibilità di riuscita.

    Pagare dei criminali, ahimè, è sempre una sconfitta

    Elvis


    Alvise Cervellati - MVP Windows Expert-Consumer

    martedì 9 febbraio 2016 08:01
  • Pagare?

    Vorrei aver letto male.

    Davvero...


    Franco Leuzzi - Microsoft ® MVP Windows Expert-IT Pro \System Administration

    martedì 9 febbraio 2016 08:11
  • senza backup, senza shadow, senza nulla, se vuoi i dati paghi. non hai soluzioni.

    Sbagliato finchè vuoi..ma..è così.

    martedì 9 febbraio 2016 08:40
  • senza backup, senza shadow, senza nulla, se vuoi i dati paghi. non hai soluzioni.

    Sbagliato finchè vuoi..ma..è così.

    E' questo il problema, non certo il virus.

    Ci sono sempre stati e sempre ci saranno.

    Se non ci sono dati rilevanti si formatta.

    Se ci sono dati importanti e necessari si DEVE lavorare con backup , immagini e cloni.

    E, se i dati sono DAVVERO importanti, almeno in due diverse location.

    Così si possono del tutto IGNORARE quei CRIMINALI.

    NON certo "pagando".


    Franco Leuzzi - Microsoft ® MVP Windows Expert-IT Pro \System Administration

    martedì 9 febbraio 2016 09:52
  • OK tutto giusto ma se tutti fossero colti in ogni materia io non sarei qui a lavorare e voi non servireste, purtroppo non tutti fanno backup e molti li fanno su NAS che viene criptato nello stesso modo essendo in rete.

    Quindi il "DEVE" rimane giusto ma è come dire che non "DEVONO" esserci ingiustizie nel mondo praticamente un utopia. Ho fatto domande per sapere se potevamo trovare altre strade non per sapere quello che i miei clienti avrebbero dovuto fare prima.

    Comunque GRAZIE. Siete molto utili lo stesso.

    martedì 9 febbraio 2016 10:05
  • Franco, ma certo, siamo d'accordo. Il crypto per me è una selezione naturale. Se non hai ancora attuato le basi necessarie per campare una volta che te lo sei preso dopo ti sistemi per forza. Sui client non dovrebbero nemmeno starci documenti importanti.

    Non dico di essere il maggiore esperto in Italia, ma ne abbiamo fatti 53. Ne abbiamo salvati 51. In 5 casi di quei "salvati" il cliente (che non era mio, ma lo è diventato dopo) ha pagato perchè non aveva il backup. Non è un'opzione, è l'unica scelta possible. A meno che tu non abbia un decrittatore di chiavi a 512bit. Anche le soluzioni proposte da Alvise per quanto "proattive" non servono a nulla (la mia società fa recupero dati a basso livello, se prendi un crypto vengono cryptati gli originali, non create copie, è solo una perdita di tempo andare a ricercare files in giro per il disco).

    In quei casi non puoi azzerare i tuoi dati, sei costretto a pagare. Dopo certo ti strutturi ma finchè non ti capita è inutile fare discorsi con chi non vuol sentire e soprattutto investire. Consideriamo che per un'azienda 300-500€ del pagamento corrispondono più o meno ad uno che ti viene li a ripristinare il client-untore ed a prendere fuori i dati dai backup. Questo sempre per l'amministrazione reti conto terzi. Dove cè un sysadmin interno è un problema suo, io non c'entro. Con me i Ransomware han tirato su poco, ma c'è tanta carenza di professionalità in giro e c'è tanta ingenuità e salvare tutti da quella è un'utopia. Buon lavoro a tutti. A.

    martedì 9 febbraio 2016 12:06
  • Beh, Alessandro, anch'io faccio parte di una realtà multinazionale che, tra l'altro, fa anche data recovery, ma abbiamo un approccio diverso.

    Mai, in nessun caso, per nessuna ragione e in nessuna circostanza abbiamo accettato o accetteremo questo "ricatto" criminale del "pagamento".

    Buon lavoro e buona giornata.


    Franco Leuzzi - Microsoft ® MVP Windows Expert-IT Pro \System Administration

    martedì 9 febbraio 2016 12:25