Come recuperare i file dalla home directory che il malware ha rimosso su OS X 10.10.5 Yosemite?

4

Due giorni fa, in qualche modo, il mio Mac con OS X Yosemite 10.10.5 è stato infettato da malware e ha cancellato quasi tutti i miei file dalla mia home directory. Non ho idea di come sia successo (non è stato perché ho fatto clic su qualche annuncio, non stavo nemmeno navigando sul web quando è successo e ho anche eseguito Adblock sui miei browser Safari, Chrome e Firefox). All'improvviso alle 10 di sera, una finestra di xterm si presentò con tonnellate di righe in esecuzione con nomi di file e messaggi di "autorizzazione negata". Sono entrato nel panico e spengo il computer.

L'ho riavviato e poi quando apro il terminale, l'xterm si avvicinò e iniziò con messaggi simili di "autorizzazione negata" (pensavo che fosse lanciato automaticamente quando aprii il terminale). Mi sono chiuso di nuovo e non sembra che si spenga completamente. Poi dopo alcuni minuti ho provato ad avviarlo e non è iniziato per i prossimi 5 o 10 minuti circa. Poi quando è stato avviato, le impostazioni di OS X erano tutte fresche (ad esempio, il mio Dock è stato spostato da sinistra a quello in basso, ecc, come sarebbe se fosse una nuova installazione). Poi ho guardato la mia home directory e quasi tutti i file sono stati cancellati, stranamente tranne alcuni (credo che questi debbano avere permessi diversi).

Ho perso tutte le mie foto e i miei file su cui stavo lavorando. Ho un backup di Time Machine di 70 giorni.

Ho guardato la console e questo è quello che ho trovato.

Qualcuno può dirmi cosa è, com'è successo e come posso eliminarlo dal mio sistema?

Il log della console è di sotto.

2015-08-14 10:00:23.702 PMFinder[240]CreateWithFileInfo failed to create URL with FSRef, falling back to blank icon.
2015-08-14 10:00:24.620 PMbird[267]someone ripped the database from under our feet
LIMITS ------------------------------------------------------------------------
RLIMIT_CORE 0 infinity
RLIMIT_CPU infinity infinity
RLIMIT_DATA infinity infinity
RLIMIT_FSIZE infinity infinity
RLIMIT_MEMLOCK infinity infinity
RLIMIT_NOFILE 16384 16384
RLIMIT_NPROC 709 1064
RLIMIT_RSS infinity infinity
DISK (/Users/userx/Library/Mobile Documents)--------------------------------
NSFileSystemNodes 121846308
NSFileSystemSize 499082485760
NSFileSystemFreeSize 220219854848
NSFileSystemFreeNodes 53764613
NSFileSystemNumber 16777220
2015-08-14 10:00:24.637 PMcom.apple.xpc.launchd[1](com.apple.ReportCrash[21508]) Endpoint has been activated through legacy launch(3) APIs. Please switch to XPC or bootstrap_check_in(): com.apple.ReportCrash
2015-08-14 10:00:24.807 PMcom.apple.SecurityServer[85]Killing auth hosts
2015-08-14 10:00:24.807 PMcom.apple.SecurityServer[85]Session 100122 destroyed
2015-08-14 10:00:28.333 PMcom.apple.xpc.launchd[1](com.apple.bird[267]) Service exited due to signal: Abort trap: 6
2015-08-14 10:00:28.392 PMReportCrash[21508]Saved crash report for bird[267] version 321.9 to /Users/userx/Library/Logs/DiagnosticReports/bird_2015-08-14-220028_OLM-userx.cr ash
2015-08-14 10:00:31.108 PMcloudphotosd[519]Failed to open '/Users/userx/Library/Containers/com.apple.cloudphotosd/Data/Library/Preference s/com.apple.cloudphotosd.plist' for events
2015-08-14 10:01:07.911 PMsharingd[254]Could not replace account with identifier: _local
2015-08-14 10:01:07.913 PMcom.apple.internetaccounts[262]Could not replace account with identifier: _local
2015-08-14 10:01:07.915 PMsoagent[268]Could not replace account with identifier: _local
    
posta Lee Sande 16.08.2015 - 15:47
fonte

1 risposta

4

Dopo alcune profonde indagini arriviamo alla conclusione preliminare che il colpevole non era un malware ma una coincidenza infelice che coinvolge org.macosforge.xquartz.startx.plist, .bashrc e un comando xrd --merge ~/.Xdefaults . Dal momento che tutti questi file sono stati cancellati, tuttavia non abbiamo prove concrete.

Detto .bashrc deriva da un precursore (Linux-). Era strongmente adattato per funzionare con OS X.

Il servizio XQuartz ha iniziato a eliminare i file con rm nella cartella radice dopo aver letto in ~ / .bashrc attivato dal comando xrd. La maggior parte dei sistemi rms non ha avuto esito positivo a causa delle autorizzazioni utente mancanti. La maggior parte dei dati utente è stata tuttavia cancellata.

Dopo aver creato un'unità di recupero del pollice con Data Rescue 4 (la funzione Bootwell), una scansione approfondita ha trovato molti file eliminati. I file più importanti non possono essere recuperati.

    
risposta data 17.08.2015 - 20:18
fonte

Leggi altre domande sui tag