DOMANDA Individuazione RAID e Backup

Pubblicità
P

pasta

Utente Attivo
Messaggi
1,329
Reazioni
13
Punteggio
72
Ho un pc dual core con due hard disk (probabilmente in raid) e un windows server 2003 che gira su.
- Come posso capire che tipo di raid si tratta e se c'è una copia di backup del sistema?
- Inoltre, come si procede per recuperare una versione recente del sistema e dei files?
 
Gli hdd sono collegati ad un controller raid indipendente o integrato alla scheda madre o implementato da qualche software?
Che S.O. c'è dentro?
Scollega gli hdd dal controller raid (se attualmente sono collegati ad un controller hardware) e disattiva il raid dal bios (imposta AHCI), collega gli hdd alle porte sata, avvia il sistema operativo dal tuo hdd di sistema (non inzializzare e non formattare gli hdd se windows te lo chiede) e installa UFS Explorer.
UFS Explorer - Software download page

UFS Explorer in genere è in grado di rilevare automaticamente il tipo di RAID (se c'è), l'offset, lo stripe size, ecc, bisogna solo indicargli quali sono gli hdd che presumibilmente appartengono all'array, se non funziona allora molto probabilmente non fanno parte di un array oppure c'è un grave problema per cui non è possibile montare virtualmente l'array in UFS.
Una volta montato l'array in UFS potrai vedere il contenuto, sempre ammesso che non ci siano problemi più seri.
 
i dischi funzionano perfettamente, ed il sistema windows server 2003 (si tratta infatti di un server) si avvia correttamente, vorrei solo capire se c'è un backup da richiamare, ma non so come procedere

- - - Updated - - -

allora, si tratta di due dischi da 250, e il volume raid è da 250, presumo sia un raid 1, i dischi sono collegati alla scheda madre, e montano windows server 2003....come posso procedere per verificare se esiste una copia di backup del sistema e come richiamarla?
 
Non capisco cosa vuoi fare, se hai un raid 1 hai già un backup.
Spiega bene che cosa vuoi fare e se è accaduto qualcosa al server, senza omettere nulla... altrimenti sarà difficile aiutarti.
 
voglio recuperare qiesto backup, se esiste, in quanto allo stato attuale ci sono files criptati da un virus, sul server (non infetto, era infetto un client ed il virus ha criptato alcuni files della cartella del server, condivisa e mappata sul client)
 
Allora stai parlando di Cryptolocker?
Se è così allora devi sapere che alcune versioni di questi ransomware sono in grado di distruggere anche i dati contenuti nella copia shadow, in ogni caso il recupero dalla shadow non sarebbe ottimale.
Se il virus non è una versione recente è possibile decrittare tutti i dati che sono stati presi in ostaggio, però è necessario conoscere il tipo di cryptolocker che ha infettato il client.
Mi sai dire che estensione ha assegnato il virus ai files infettati ?
Se possibile posta almeno uno di quei files infettati (un file di testo ad esempio) così lo analizzerò e vedrò se riesco a calcolare la chiave di decrittazione.

P.S.
Se vuoi tentare la strada del recupero tramite analisi della copia shadow, prova con Shadow Copy Viewer oppure Shadow Explorer, ma prima di tutto ti consiglio di clonare l'hdd prima di effettuare qualsiasi operazione.

- - - Updated - - -

P.S.
Fai attenzione al virus, se ancora non è stato debellato potrebbe infettare tutte le periferiche del pc al quale lo andrai a collegare (persino il backup su cloud), il mio consiglio è di usare un pc con un buon antivirus aggiornato e di scollegare il sistema da internet, ancora meglio se usi un pc in cui non si hanno dati di interesse, così anche se il virus dovesse infettare l'hdd del pc e altre periferiche di memoria collegate ad esso non sarà catastrofico.
 
Ultima modifica:
il virus è nella variante cbt-locker, per il quale non esiste decriptatore, è stato eliminato completamente, e i files criptati, nelle proprietà-versioni precedenti, mi dice nessuna versione precedente presente
 
Quindi i tuoi files hanno l'estensione modificata in .CTBL o .CTB2, corretto?
Queste sono le estensioni che assegnava la vecchia versione del CTB, la più recente invece assegna delle estensioni casuali (esempio .ftelhdd - .ztswgmc ecc).
Tu che estensioni vedi ai files crittografati?

- - - Updated - - -

L'ultima versione del CTB elimina le copie shadow!!

- - - Updated - - -

Inoltre in tutte le directory in cui cripta i files crea i seguenti files:
!Decrypt-All-Files.bmp e !Decrypt-All-Files.txt

Al momento non c'è una soluzione per decrittare i dati senza cedere al riscatto (pagare comunque non garantisce che gli hacker ti invieranno la chiave di decrittazione, sono pur sempre dei criminali senza onore).
L'unica speranza è tentare un recupero RAW dei files
 
Fai una scansione completa in R-Studio, al termine potrai effettuare un recupero RAW dei files (almeno di quelli non crittografati).
Scaricare Demo di recupero dati e versione di valutazione del software di Ripristino File.

Con la demo del programma puoi fare la scansione del disco e verificare cosa è recuperabile, ma per il recupero effettivo dei files (ammesso che sia possibile) ti servirà la versione completa da acquistare.

In pratica funziona così...
In modalità RAW vengono ricercati gli indici di apertura e di chiusura di ogni tipo di file noto presente fisicamente sul disco, anche di quelli che hai eliminato in passato.
In modalità normale invece, la ricerca di ogni singolo file avviene tramite lettura del filesystem.
Quando cancelliamo un files in realtà questo non viene immediatamente eliminato, in pratica viene semplicemente data l'istruzione al filesystem di non mostrare più quel file cancellato e di usare in futuro i settori su cui risiedeva per salvare nuovi files quando lo ritiene opportuno.
Inoltre, quando si deframmenta il disco, i files vengono spostati di posizione ma questo non significa per forza che i settori sui quali si trovava in origine un certo file siano stati sovrascritti, quindi nella posizione originale è possibile che ci sia ancora una copia di quel file solo che il filesystem non tiene più conto della posizione in cui risiedeva precedentemente.

I Cryptolocker, che io sappia, può crittografare solo i files che sono registrati nel filesystem, quindi se hai delle copie residue di tali files (che quindi non erano più catalogati nel filesystem al momento dell'infezione del CTB) allora potrai recuperarli.

P.S.
L'hdd da scansionare dovrai impostarlo come secondario, cioè non caricare il suo sistema operativo se ne ha uno.
La modalità RAW funziona meglio con i file piccoli come i documenti office e le foto, le probabilità di recuperare i video ad esempio sono molto più basse.
 
Ultima modifica:
Pubblicità
Pubblicità
Indietro
Top