the_fox zei:
Technisch verder ingaan op wat? De ransomware loopt sequentiëel de bestanden af met de extensies uit de lijst die jij genoemd hebt, encrypteert ze met een SHA-2048 key en slaat ze op als $filename.WCRY. Is niks nieuw of inovatief aan deze ransomware, buiten dat ze binnengeraken door een exploit die gebruikt maakt van een bug in SMBv1. Een exploit die door de NSA ontwikkeld is en enkele maanden geleden al geleaked is. Dus op de ransomware kunnen we al technisch niet veel verder ingaan.
Wil je verder ingaan op recovery? Heb ik in mijn vorige post(s) al gedaan: de kans is belachelijk klein sinds er enorm veel read (en ja, read heeft ook een impact sinds NTFS ook een eigen bad black register heeft die hij ook al bij read aanvult en reallocate, op disk niveau (SMART) gebeurt dit enkel bij write)/write acties uitgevoerd worden. Je beweert dat het maar een lijst met beperkte extensies is, maar je zou er nog van verschieten hoeveel bestanden er met de genoemde extensie op elke pc staan. Enorm veel cached bestanden/bestanden uit help files van programma's/...
Dus de enige bestanden die niet geïnfecteerd worden zijn van geen belang, want dit is van OS of programma's; wat je allemaal opnieuw kan installeren. Je userdata, config files, werkbestanden, downloads, foto archief, ... zullen er allemaal wel aan zijn.
En dan voor de effectieve recovery: stond vrij duidelijk in de laatste post. Je zult onmogelijk alles terughalen puur softwarematig. In het geval van een SSD ben je al zeker in het nadeel, in geval van een harde schijf met platters kun je via een gespecialiseerde firma misschien meer terug halen maar dit is ook niet gegarandeerd.
Geloof mij je hoeft niet zo extreem gaan voor wat recovery op een PC die gewoon gebruikt word, dat je "platters" nodig hebt. Je blijft totaal de essentie missen van mijn post die zelfs niet gaat over het gelijk hebben, maar dat het een realistische optie is voor mensen met geduld en tijd.
Niet iedereen heeft een SSD maar een SSD is inderdaad een ander verhaal. Op het niveau waar ik het over heb zijn die bad block registers een minimale impact. Mijn pc draaid gigantisch veel uren, ik laat mijn pc ook via gebruik enorm veel read en writes doen. ik weet uit ervaring met dergelijke tools dat ik al bestanden heb gerecovered dagenlang nadat ik er achter kwam dat ze weg waren, ik heb zelfs ooit manueel via een HEX editor via RAW bewerking van de HDD afbeeldingen gerecovered. Er is een kleine kans voor technische mensen dat de niet geencrypteerde versies nog "bestaan", een heel kleine kans die waanhopige techneuten kunnen uitproberen. Het is dus een kleine kans en een optie om uit te proberen zonder garantie. Kleine kans of success maar ook een grote kans op falen. Niet bedoeld voor gamers of bureaublad gebruikers die beter af zijn met gewoon een verse instalatie van windows. <- dat begrijp je niet aan mijn posts.
Omdat ik echt vrees dat u de posts totaal niet leest som ik het even op:
-> Bij elke vorm van gegevens recovery is er altijd extreem veel kans op het onherstelbaar zijn van de gegevens - heb ik in eerdere posts ook aangehaald en toegegeven.
-> Ik geef u groot gelijk dat recovery een moeilijk iets is met geen garantie op ook maar enig slagen - dat had je moeten kunnen weten uit de vorige posts.
-> SSD schijven zijn een hele andere zaak. het is niet onmogelijk, hangt dan van de firmware af,hun werking, slijtage, en een slijtage en sector schade risico verbonden aan minimale kansen
-> Het hangt ook af van hoe extreem het virus is, hoe extreem het ontwikkeld is, en hoeveel gegevens het non stop gaat bewegen.
Voor de rest laat ik het erbij. U wil gewoon uw gelijk halen tegen iemand die geen gelijk wil halen maar een paar punten aanhaald die mogelijk voor technische gebruikers een waanhopig, studie, of een interessant iets om uit te proberen kan zijn.
