Aller au contenu

DSM 2.1 (oui...) Restauration de données


Bidibulo

Messages recommandés

Bonjour à tous !

J'ai un DS209j qui tourne encore sur DSM 2.1-0844 - oui je sais, il va falloir le mettre à jour un de ces 4 ;)

Un des PC connectés au NAS a été infecté par un ransomware. Quelques milliers de fichiers ont été cryptés ou verrouillés, ils font tous la même taille (585 ko) et portent tous l'extension .jse
Heureusement, il y a une sauvegarde locale incrémentale sur disque USB. Elle contient de nombreux fichiers .jse aussi , mais les fichiers d'origine y sont aussi présents.
Mais beaucoup de fichiers ont été déplacés ou supprimés, j'ai peur de les voir revenir au mauvais endroit si je restaure la totalité de la sauvegarde, créant ainsi de nombreux doublons. Comment l'éviter ? La fonction restauration ne propose pas beaucoup d'options sur DSM 2.1

Comment se passe cette restauration ? elle écrase les fichiers déjà existants et restaure aussi les anciennes versions ou elle s'en tient au dernier état constaté lors de la dernière sauvegarde ?

Et question annexe, je n'ai pas trouvé comment effacer les *.jse via ligne de commande. La commande find (...) -delete les trouve mais refuse de les effacer, find -exec rm rf non plus, apparemment cette version de find ne permet pas de supprimer les fichiers. Il faudrait installer findutils, mais il refuse (pas le bon compileur etc...). Donc je les efface via le réseau, depuis un poste windows. Y'a rien de plus efficace ? rm -rf *.jse ne fonctionne pas non plus.

Et enfin, dernière question subsidiaire, cette sauvegarde incrémentale est pleine de fichiers déplacés, supprimés etc. Comment supprimer ces versions obsolètes sans refaire toute une sauvegarde initiale ?

merci beaucoup pour vos lumières. Et méfiez vous des pièces jointes louches... Les phisheurs ont vraiment pris du niveau, j'ai failli me faire avoir par un mail d'OVH dont l'entête affichait bien ovh.fr, sécurité TLS ok (!)

Lien vers le commentaire
Partager sur d’autres sites

Vous avez ENORMEMENT de chance de ne pas avoir perdu vos données.

Comme vous le faites fort justement remarquer, les sauvegardes sous la 2.1 étaient beaucoup moins évoluées que ce que peut proposer aujourd'hui Hyperbackup. Je n'ai plus le souvenir de ce que pouvait offrir les sauvegardes de l'époque en terme de restauration. Il n'y avait guère que time backup qui permettait de restaurer les fichiers à une certaine date mais ce n'est pas ce que vous aviez et je ne suis pas sûr que c'était dispo sur la 2.1.

De ce fait, je crains fort que vous soyez contraint de recréer à la main vos dossiers et leurs contenus. Il va donc d'abord falloir formater vos disques sur un PC pour vous défaire de ce virus et refaire une installation neuve sur votre NAS (en profiter pour remettre enfin à jour votre DSM), de recréer les dossiers et de les peupler à partir des données qui n'ont pas été vérolées.

Lien vers le commentaire
Partager sur d’autres sites

Merci pour votre réponse.
Je n'aurai peut-être pas dû poster dans la section HyperBackup, c'est vrai que l'outil de backup de DSM 2.1 est assez rudimentaire.

En fait il y a assez peu de fichiers concernés, quelques centaines, le ransomware a essayé de crypter la corbeille du NAS et a perdu 60% de son temps dessus :-D
Ils ont eu du pot (c'est le NAS d'un ami qui l'utilise pour sa TPE), le fautif ayant assez vite réalisé sa bourde a débranché le cordon ethernet et éteint le PC. J'ai l'impression que le malware était arrivé à pénétrer une autre machine, pourtant le fautif me promet qu'il n'a pas ouvert la PJ sur l'autre pc, j'ai un doute. Il a travaillé dessus après avoir éteint le sien mais n'a pas touché aux .jse. C'est un windows 7 qui semble refuser de se mettre à jour, peut-être un exploit windows ?
Bref je suis assez bien arrivé à nettoyer les postes, plus rien sous FRST ni Avira. Reste plus qu'a restaurer à la main quelques centaines de fichiers. Seule une petite partie sera en doublon car déplacés, renommés ou supprimés de la source, mais la sauvegarde incrémentale les garde quand même.

Bonne piqûre de rappel : une sauvegarde efficace et bien pensée est indispensable. La restauration de centaines de milliers de fichiers peut s'avérer très compliquée et mettre un bazar sans nom dans votre NAS.

On va mettre à jour ce NAS, mais comme il doit être remplacé bientôt par un plus récent, on va pas tout réinstaller. Il servira de backup pour le nouveau ;)

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, Bidibulo a dit :

le fautif ayant assez vite réalisé sa bourde a débranché le cordon ethernet et éteint le PC

:wow: enfin un qui réagit correctement (si en plus pour éteindre le pc il a arraché le cordon d'alim, il a très bien réagit, c'est rare)

Pour la suppression en masse, avec une si vielle version de DSM il n'y a pas grand chose de faisable, si tu as awk tu peux faire un script du genre :

find /volume1/ -name *.jse | awk '{print "ls "$0}' > /tmp/listeJSE
sh /tmp/listeJSE

(il faut remplacer ls par rm, mais attention aux caractères spéciaux dans les noms, d'où le ls pour tester)

Sinon avec un poste sous linux/mac/windows, il existe plein d'outils, en powershell par exemple (script à modifier !!) :

Get-ChildItem -Path C:\Temp -Include *.* -File -Recurse | foreach { $_.Delete()}

De même pour la restauration, rsync peut faire ça proprement (mais pas dispo sous windows), robocopy aussi avec les bonnes options (lui est dispo pour windows).

Pour identifier les doublons : https://www.hardcoded.net/dupeguru/

Sinon il y a un outil dans CCleaner qui le faut aussi

Il y a 3 heures, Bidibulo a dit :

plus rien sous FRST ni Avira

la version de demo d'ESET (ou kaspersky mais c'est plus lourd) devrait te permettre de faire un scan plus approfondi

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.