Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Bestanden veranderd, waarschijnljk geencrypt, maar welke?

Pagina: 1
Acties:

woensdag 21 oktober 2015 12:10

Acties:
  • Milmoor
  • Registratie: Januari 2000
  • Laatst online: 22:34

Milmoor

Footsteps and pictures.

Topicstarter
Ik verwacht dat ik niet goed kan zoeken, want deze vraag is waarschijnlijk al vele malen gesteld. Mijn muziek speelde opeens niet meer nadat ik i.v.m. een crash een schoon image van mijn C-partitie had teruggezet. De bestanden zijn iets groter geworden. Als ik een origineel terughaal van mijn externe backup doet die het wel. Ik verwacht dat ik een Ransomware halverwege heb afgebroken door de image terug te zetten. Maar ik weet niet welke Ransomware (nieuwsgierigheid), en ik weet niet wat er aangepast is (hier gaat het om). Om nou alles blind te gaan terughalen klinkt niet efficiënt. Hoe kan ik nagaan welke bestanden veranderd zijn?

[edit]
Zucht, stom geneuzel en zonde van de tijd:
  • Google vind alleen maar discussie over het decrypten. Dat is niet wat ik zoek. Ik heb de meeste originelen nog, maar wil weten wat er veranderd is. De zaken die niet in de backup staan zijn niet echt belangrijk, maar ik wil ze niet blind weggooien. Als ze niet aangetast zijn, dan houd ik ze graag. Bovendien wil ik graag selectief terughalen. Is bijv. mijn Dropbox-map geraakt? Niet alle muziek is stuk, dus ik denk dat het nog werk in uitvoering was.
  • Ik kan met Crashplan de bestanden alleen naar de oorspronkelijke locatie of naar de desktop terughalen. Erg onhandig omdat ik op de betreffende pc niet genoeg ruimte heb om de bestanden dubbel op te slaan. Ik had met Beyond Compare willen nagaan welke bestanden veranderd zijn.
    Klopt niet, dit is wel aanpasbaar.

[ Voor 40% gewijzigd door Milmoor op 21-10-2015 13:40 ]

Rekeningrijden is onvermijdelijk, uitstel is struisvogelpolitiek.

woensdag 21 oktober 2015 16:40

Acties:
  • jordje
  • Registratie: April 2013
  • Laatst online: 13:28

jordje

Is het een idee om een complete file-list, gefilterd op bestandsextensies, te sorteren op datum? Alles wat de meest recente wijzigingsdatum heeft is dan een potentieel slachtoffer.

Als alle bestandsnamen nog hetzelfde zijn gebleven kan je misschien de files op je schijf vergelijken met de files in je backup? Daar zal vast ook wel software voor zijn die de grootte of hashes vergelijkt o.i.d.

woensdag 21 oktober 2015 16:43

Acties:
  • lolgast
  • Registratie: November 2006
  • Laatst online: 22:28

lolgast

Als je geluk hebt staat de lijst in je register.
regedit -> HKCU\Software

Daar staat waarschijnlijk bovenaan een mapje met een lang nummer. Ergens daarin staat een lijst met alle bestanden. Als je getroffen bent door encryptie ransomware.

@hierboven, de nieuwere versies passen de datum en extentie niet aan

[ Voor 13% gewijzigd door lolgast op 21-10-2015 16:48 ]

woensdag 21 oktober 2015 16:49

Acties:
  • MsG
  • Registratie: November 2007
  • Laatst online: 22:52

MsG

Forumzwerver

Je zou bijvoorbeeld kunnen kijken met iets als Syncback of een ander tooltje of het bestand inhoudelijk is veranderd, bijvoorbeeld andere grootte, andere wijzigingsdatum e.d. en dan selectief terugzetten daarmee.

http://www.2brightsparks.com/syncback/syncback-hub.html

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn

woensdag 21 oktober 2015 16:58

Acties:
  • lolgast
  • Registratie: November 2006
  • Laatst online: 22:28

lolgast

Toevoeging aan het bericht van mezelf. Als de bestanden inderdaad zijn te vinden in het register, dan zou je die via bijvoorbeeld excel kunnen omzetten naar een meer leesbaar tekst-bestand. Via dit commando
for /f “delims=” %i in (files.txt) do echo F|xcopy “C:\SOURCE\%i” “D:\DESTINATION\%i” /i /z /y
Kun je dan elk bestand wat in die lijst voorkomt van je back-up kopieren.

woensdag 21 oktober 2015 17:07

Acties:
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

^^ Wat je wel moet aanpassen naar de eigen situatie natuurlijk. En begrijpen, anders nooit andermans script gebruiken :+

-
Begrijp ik goed dat de files op dezelfde PC stonden, maar een niet-overschreven partitie? Voor de zekerheid: was het niet door jezelf versleuteld (wat kan afhankelijk van welke OS-versie je gebruikt, of met losse tools). Of een corrupte partitie / HDD door de crash?

Kijk anders naar de eerste paar bits van een bestand, misschien kan je daar iets uit opmaken. Of http://mark0.net/soft-trid-e.html of 'file' gebruiken onder Linux. Al is een backup terugzetten wel zo makkelijk.

En belangrijke directories waar je geen backup van hebt read-only maken voor de account die je normaliter gebruikt.

[ Voor 9% gewijzigd door F_J_K op 21-10-2015 17:08 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 21 oktober 2015 18:19

Acties:
  • Milmoor
  • Registratie: Januari 2000
  • Laatst online: 22:34

Milmoor

Footsteps and pictures.

Topicstarter
Ik maak periodiek een backup met https://www.terabyteunlimited.com/image-for-windows.htm. Eens in de zoveel tijd met de hand, en dagelijks geautomatiseerd. De geautomatiseerde versie is helaas stuk waardoor ik die niet kon gebruiken. Ik heb nog geen roterende backup, dat ga ik wel inrichten. Oorzaak van de niet werkende backup: momenteel faalt elke nieuwe backup. Ze valideren niet. De oude gaan wel goed. Ik zoek uit waarom.

Ik heb de registry niet meer beschikbaar. Dus daar kan ik geen lijst uit halen. Voordat ik een oude backup terug zette heb ik eerst een backup gemaakt van de situatie met problemen, maar ook deze backup valideert niet.

Standaard draai ik F-Secure, met UAC op max en met Emet 5.2. Toch is er waarschijnlijk iets doorgeglipt. MalwareBytes kan niets vinden, maar ik draai dan ook niet meer op de oorspronkelijk image met problemen.

Ik ben nu via Crashplan mijn data aan het terughalen. Ik zal de eerste bytes vergelijken om te zien of daar iets te vinden is.
[edit]Nagekeken: het bestand is inhoudelijk totaal veranderd. Naam, bestandsgrootte en modificatiedatum zijn nog gelijk. Dat wordt dus inhoudelijk vergelijken om te zien wat wel en niet aangetast is. Als het puur mijn muziekbestanden zijn is dat niet erg, maar bij sommige andere bestanden zijn wel onhandig als ik niet weet of ze wel of niet gewijzigd zijn.

Zou Dropbox gemerkt hebben dat er iets veranderd is? Zo niet, dan zijn die bestanden dus niet naar elders gestuurd en kan ik een synchronisatie met de juiste bestanden van elders forceren door Dropbox opnieuw te installeren. Dat voorkomt uitzoekwerk wanneer ik precies wat ben kwijt geraakt in deze mappen. Want die map is het meeste werk.

[ Voor 35% gewijzigd door Milmoor op 21-10-2015 18:39 . Reden: Aanvulling ]

Rekeningrijden is onvermijdelijk, uitstel is struisvogelpolitiek.

dinsdag 27 oktober 2015 12:44

Acties:
  • Milmoor
  • Registratie: Januari 2000
  • Laatst online: 22:34

Milmoor

Footsteps and pictures.

Topicstarter
Ter info: hij lijkt van de Dropbbox bestanden af te blijven. Er stond uiteindelijk maar een bestand in Dropbox dat mogelijk gewijzigd was. Met Crashplan is het heel eenvoudig een backup terug te halen van voordat het fout ging. Met Beyond Compare kan je mappen vergelijken op inhoud. Foobar 2000 kan muziek bestanden op beschadigingen testen: https://www.foobar2000.org/components/view/foo_verifier. Met deze combo was ik er snel achter welke bestanden wel en niet aangetast waren a.d.h.v. een oude backup. Uiteindelijk heb ik alle bestanden met een oude versie overschreven, op wat recent gewijzigde documenten na.

Rekeningrijden is onvermijdelijk, uitstel is struisvogelpolitiek.

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq