Sono dell'idea che la miglior difesa sia la prevenzione.
Usate un file system zfs con snapshot zfs ogni 5 minuti, potete tenere una history di migliaia, decine di migliaia, di eventi senza decadimento delle prestazioni.
Massima rapidità di recovery... (Pochi istanti se usate uno storage veloce magari con cache e ZIL su ssd di fascia server).
Il giorno 11 dic 2018, alle ore 20:10, Davide Prina <
davide.prina@gmail.com> ha scritto:
On 11/12/18 07:58, Mario Vittorio Guenzi wrote:
server [...] che e'
stato infettato da un cryptolocker
ma è Debian o comunque GNU/Linux il sistema operativo sul server?
ed eventualmente recuperare quanto possibile.
quindi nessun backup?
*È caldamente sconsigliato pagare per recuperare i dati.*
Ci sono principalmente tre situazioni possibili:
1) alcuni "cryptolocker" in realtà ti cancellano tutto e quindi anche se
paghi non potranno ripristinarti nulla.
È possibile riuscire a recuperare qualcosa usando pothorec o simile.
2) alcuni "cryptolocker" usano metodi di cifratura che sono deboli, che
hanno dei bug o di cui è conosciuta la chiave. Quindi in questi casi è
possibile recuperare tutto senza pagare nulla.
In alcuni casi non bisogna spegnere il PC infetto, altrimenti non sarò
più possibile decifrarlo con questi metodi...
Bisogna identificare il cryptolocker e cercare su internet. Se non
sbaglio sul sito di kaspesky (o come si scrive) sono riportati diversi
di questi metodi per recuperare tutto
3) alcuni "cryptolocker" in effetti hanno cifrato tutti i tuoi dati, non
rientrano nel punto 2), e se paghi li decifrano. Di solito permettono di
decifrare 1 o pochi file gratuitamente (se è così è consigliato cercare
di recuperare qualcosa in questo modo). In ogni caso è sconsigliato
pagare perché così si finanziano commerci illeciti e si incentivano a
continuare a portare avanti le loro attività criminali.
Se l'algoritmo non è furbo è possibile cercare di recuperare almeno
alcuni dati usando photorec o simile
Ciao
Davide