Tengo copias de seguridad de una carpeta de usuario de una unidad anterior que estoy organizando ahora y he notado que los archivos están dañados o encriptados.
Las extensiones y los nombres de los archivos no se modifican, parece que los archivos exe se ven afectados y, con un análisis más profundo, he encontrado algunos buenos archivos. Los archivos legibles tienen menos de 655 bytes y pensé que tal vez es un tipo de lógica sistemática if less than XXX then encrypt . Pero también he encontrado que un archivo de 651 es ilegible y otro de 655 es legible, parece que cualquier cosa por debajo de 650 bytes es seguramente legible y por encima de 1kb por cierto no es legible.
Ahora podría haber algunos archivos más grandes legibles, pero todavía tengo que encontrar alguna sugerencia para que una utilidad de Windows haga esto.
Ejemplo de un archivo readme.txt ilegible de 766 bytes:
RÐÜ'„ÜAŒŠz>‹ú ©<ìyF’”Îã¸b{¿>Q(9 <UЈÔIMút€*GŽ#'nÚÁ°…‹Œ#2ª0SŠ'2Aàè€aÕ›’jÚm5ñ®‰¡2æimºÈóÇæ{ž+݇û'åûÛs’ؘÒý};rÎÙœÈÐÓK;=œ¼œ¬û#W&Ì9»nI›˜´
²y…ë$c×wT<¼ò}Sð¨æfté¤:eÖ+;’®iƒŒ‘ØmÄ<XôÝçRg&y4é^~9®]¢ÓC _@jyäLj¸«'dŽ<ŽK2T®f°>!@°Çødâ!YnmîÞÜ=ˆp°f|×V?œÍwöáÍèÃ[W£OòJl<‰Q‡,ùü*sõúÎt¹ @ë¯öyþ1G>zkJkŸX'Ï4Ë r @‰ŒJ¯³;ü¹ï«19QñW•[×ÞBG_fl›¤lP'ؑ1∌# àžˆû°9[xø•Ÿ}.y«A2ÖäkˆsÌ÷'op3|ËÕøëT
ª°^Òé÷ÄÉñ3@ˆÀC%Íõj„£”¾ŠãíïsVõ J:ÂrËá}Æw¾Ã&Eß9´Þ=y%¹
ù6 C¾MœlIöy€@kzQûˆK”158êòü¿p¿õ3aò·ý‹p²PÁ€'”—s
.‚.ÉAô³ã´# ˜q
“ÂÂêËœ—4‡è'Š@Șw à¬Lyqo.ùƒ3Qž—çoœ¬<øÄÚÃ9äҮƽ†¦¬oVA h 9ÛVÝiÛ{%þ8›òNé’÷R7{8ñwŽ+Ç<GÏËr>Þul”,´YŸ<«îÈ™ø¬»z»~ö€ª'ÒŸ¯qoàÌHà–çD̾™NTJÜ_Áå1ävwò~·3ilàB™û"]o'z7Xò]]Wr%8r§·ñps¡$Ëhq'¸sÏc1ÖY'W6t¿:
RansomNoteCleaner informa CryLocker sin embargo, los archivos que etiqueta son solo de tipo HTML y, si se abren, están dañados.
Cuando luego escaneo con CryptoSerach para CryLocker de archivos cifrados, se encuentran 0 resultados.
Ahora también, si me parece muy difícil, parece recordar vagamente un episodio de hace unos años de una ventana emergente de ransomware, pero uno pensaría que notaría que mis archivos están dañados entonces.
Esto es algo realmente nostálgico de hace más de una década, por lo que una parte de mí desea que sea un ransomware, ya que eso trae alguna esperanza de recuperarlos.
Y sí, este fue un rudo despertar de que ahora estoy trabajando en un proceso para hacer copias de seguridad de las copias de seguridad en la nube.
ACTUALIZAR :
Esto parece haber sido un ataque de ransomware, todavía no sé cuál, sin embargo, para mi sorpresa, tuve buenas copias de todos los archivos afectados: ¡lección aquí, haga copias de seguridad de las copias de seguridad!