HDD WD Elements 1.5 TB - mi se schimba fisierele in extensia XML

Va salut

Am un hdd extern WD Elements de 1.5 Tb de apro 1 luna si am tot mutat fisiere de pe alt hdd extern
Problema este ca de ceva timp observ ca mi s-au schimbat niste fisiere (video si imagini) in extensia .XML

Nu pot sa inteleg cum ...deoarece am scanat ambele hdd-uri pe laptop-uri diferite (pe unul am Avast free si pe altul bitdefender) si nu am gasit vreun virus , malware sau vreun fisier corupt.

Am atasat un printscreen ca sa va faceti o idee mai buna si as aprecia un sfat sau ajutor ...

Va multumesc

Calul

Extensia ca extensia, dar continutul lor mai este cel corect ?

Dimensiunea fișierelor este aceeași.. Deci  nu a impactat
Din păcate nu se pot deschide neam.. Și chiar dacă șterg extensia xml și las doar abia sau pdf... Îmi spune ca nu se pot deschide ca sunt corupte
Nu înțeleg de unde pana unde:((

Deci continutul lor nu mai este acelasi, ransomware, bye bye date.

@andreic.. Înțeleg ca te-ai lovit și tu de aceeași problema dacă ai ajuns la concluzia ca este ransomware?

pentru a vedea daca fisierele tale video mai au acelasi continut, descarca mediaplayer classic home cinema de aici (nu e nevoie sa-l instalezi, poti lua fisierul zip pe care-l dezarhivezi si rulezi apoi din arhiva mpc-hc.exe) si incearca sa arunci filmul cu extensie .XML in fereastra playerului. daca intr-adevar continutul este video, playerul iti va reda fisierul, in ciuda extensiei nespecifice. daca in schimb fisierul este criptat si deci continutul nu mai este cel al unui fisier video, playerul nu va reda fisierul.


 screenshot.jpg   587.52K   22 downloads


pentru poze, aceeasi operatiune o poti face folosind programul irfan viev.

Mulțumesc.. Voi încerca

Nu te mai chinui.
Daca deja ai incercat la PDF, este clar ca este virus.
Daca vrei sa recuperezi fisiere, NU mai conectezi hardul ala la nimic 6-12-24 luni si, daca ai noroc, pina atunci apare uin decriptor.
Apopo, vezi ca ai virusat si toate calculatoarele unde ai conectat hardul ala.
Si, din acel calculator, s-au virusat si toate celelalte harduri/stickuri conectate la el.

whitehorse, on 17 aprilie 2017 - 13:36, said:

Nu m-am lovit pentru ca am protectie activa cu KAV dar actiunile descrise asta indica...

Este posibil sa fie un ransomware - caz in care e valabil ce e in topicul de la Important.
In principiu insa ar fi trebuit sa fi ramas ceva urme - dupa criptarea unui folder cu date, virusii ransomware lasa in acel fisier si 3 fisiere  ( txt, html, jpg ) cu detalii despre cum se recupereaza.

Mai exista o posibilitate - hdd extern... Datele se pot corupe si accidental - prin defectarea hardului, a memoriei acestuia, sau coruperea sectorului in care se stocheaza informatiile depsre fisierele scrise pe hard.

eiffel, on 20 aprilie 2017 - 10:42, said:

Multumesc de raspuns, inclin sa cred mai mult varianta 2 deoarece am un HDD cumparat acum 1 luna.
De atunci am inceput sa mut documente si fisiere de pe un HDD pe altul ...si acum vreo 2 saptamani am observat cateva fisiere XML (culmea este ca intr-un folder de 10 filme aflate fiecare in folderul lui - doar 7 au fost schimbate in XML)
Mai mult , nu am gasit vreun alt fisier (jpg sau txt) cu informatii ...tocmai de aceea nu cred ca ar fi ransomware ....

Am scanat ambele HDD-uri pe laptop-uri diferite inclusiv cu programe gen Malwarebytes si nu am gasit nimic ...

Acum am ambele hdd-uri "pe bara" si incerc sa imi dau seama cum sa procedez incat sa nu pierd date care chiar conteaza (poze si alte documente) ...

Ms

pune cateva poze/documente modificate intr-un folder, arhiveaza-l (winzip/winrar) si urca-l uneva ca sa putem sa-l downloadam si iti spum sigur daca sunt corupte sau criptate

Quote

eiffel a scris aici -In general virusii cripteaza dupa care se sterg automat din sistem.

STARTREK1, on 20 aprilie 2017 - 19:13, said:

ok, voi reveni
multumesc de ajutor

Vezi ca am adaugat 2 linkuri la acel topic, in primul post - poti uploada direct acolo pozele si ti-se va spune ce si cum.
Primul link e recomandat.

BAD NEWS
Sorry! We don’t yet have a solution to help you but we are actively looking for it.
Please make sure you are uploading a ransom note and encrypted sample file from the same infection.
It is recommended to back-up your encrypted files, and hope for a solution in the future.

Ok, imi e clar ca e ransomware...dar nu am toate fisierele infectate (am backup pentru ele oricum)
Mai mult, nu am gasit niciun ransomnote....poate am intrerupt procesul inainte sa se termine criptarea?

pe al doilea link
Unknown Ransomware
Unable to determine ransomware.
Please make sure you are uploading a ransom note and encrypted sample file from the same infection.
This can happen if this is a new ransomware, or one that cannot be currently identified automatically.

fisierul are forma document.xml

whitehorse, on 22 aprilie 2017 - 07:12, said:

Posibil...

Cred ca am elucidat problema aparuta (sper) iar treaba sta in felul urmator :

Hdd-ul pe care am gasit fisierele cu extensia schimbata l-am folosit prima data la serviciu unde am un program Symantec Endpoint Encryption  (traiasca mama departamentului de IT)   - am pus printscreen
De fiecare data cand bag un USB sau HDD imi copiaza pe mediul de stocare 3 fisiere (platform, see removablestorageaccessutility si autorun)  -  inteleg ca ar fi pentru protectia datelor firmei...etc ....

Azi am facut un test si am downloadat pe PC-ul de serviciu 2 fisiere (drivere de pe site-ul lenovo)  - pe care le-am copiat pe un stick (conform printscreen-ului atasat)
Ambele fisiere aveau extensia .exe

Cand am mutat stick-ul de pe desktop pe laptop-ul personal (pe care am formatat si reinstalat windows 8.1 pro chiar azi )  aceste doua fisiere apareau instant cu extensia (.exe.xml)  si nu mai pot fi deschise pe laptop - atasat printscreen

Ce ziceti ?
Sa fie o problema de criptare a documentelor ?

Daca te duci cu el inapoi la servici si le bagi in acelasi calculator le poti deschide ?

Ca daca da, da, e posibil sa fie criptate de acel soft - caz in care ar trebui vazut daca exista setare ptr a nu cripta datele pe mediile de stocare externa.

Evident mai poate fi posibil si altceva - politica firmei in domeniul IT sa nu permita cuplarea dispozitivelor de stocare externa si sa fi facut ceva in acest sens.

De asemena e posibil - dat fiind ca vad ca au fost copiate niste fisiere ale symantec sa le poti folosi ptr a decripta /accesa acele fisiere ruland acele executabile.