¿Cómo recuperar archivos del directorio de inicio que el malware eliminó en OS X 10.10.5 Yosemite?

4

Hace dos días, de alguna manera, mi Mac con OS X Yosemite 10.10.5 se infectó con malware y eliminó casi todos mis archivos de mi directorio principal. No tengo idea de cómo sucedió (no fue porque hice clic en un anuncio, ni siquiera estaba navegando en la web cuando sucedió y también ejecuté Adblock en mis navegadores Safari, Chrome y Firefox). De repente, a las 10 PM, una ventana de xterm apareció con toneladas de líneas corriendo con nombres de archivos y mensajes de "permiso denegado". Entré en pánico y apagué la computadora.

Luego lo reinicié y luego, cuando abro la Terminal, el xterm apareció y comenzó con mensajes similares de "permiso denegado" (pensé que se inició automáticamente cuando abrí la Terminal). Volví a cerrar y no pareció cerrarse completamente. Luego, después de unos minutos, intenté iniciarlo y no se inició durante los siguientes 5 o 10 minutos más o menos. Luego, cuando se inició, la configuración del OS X estaba completamente nueva (por ejemplo, mi Dock se movió de la izquierda al centro inferior, etc., como lo sería si se tratara de una instalación nueva). Luego miré mi directorio de inicio y casi todos los archivos fueron eliminados, extrañamente, excepto algunos (supongo que estos deben tener diferentes permisos).

Perdí todas mis fotos y archivos en los que estaba trabajando. Tengo una copia de seguridad de Time Machine que tiene 70 días de antigüedad.

Miré la consola y esto es lo que encontré.

¿Puede alguien decirme qué es esto, cómo sucedió y cómo puedo eliminarlo de mi sistema?

El registro de la consola está debajo.

2015-08-14 10:00:23.702 PMFinder[240]CreateWithFileInfo failed to create URL with FSRef, falling back to blank icon.
2015-08-14 10:00:24.620 PMbird[267]someone ripped the database from under our feet
LIMITS ------------------------------------------------------------------------
RLIMIT_CORE 0 infinity
RLIMIT_CPU infinity infinity
RLIMIT_DATA infinity infinity
RLIMIT_FSIZE infinity infinity
RLIMIT_MEMLOCK infinity infinity
RLIMIT_NOFILE 16384 16384
RLIMIT_NPROC 709 1064
RLIMIT_RSS infinity infinity
DISK (/Users/userx/Library/Mobile Documents)--------------------------------
NSFileSystemNodes 121846308
NSFileSystemSize 499082485760
NSFileSystemFreeSize 220219854848
NSFileSystemFreeNodes 53764613
NSFileSystemNumber 16777220
2015-08-14 10:00:24.637 PMcom.apple.xpc.launchd[1](com.apple.ReportCrash[21508]) Endpoint has been activated through legacy launch(3) APIs. Please switch to XPC or bootstrap_check_in(): com.apple.ReportCrash
2015-08-14 10:00:24.807 PMcom.apple.SecurityServer[85]Killing auth hosts
2015-08-14 10:00:24.807 PMcom.apple.SecurityServer[85]Session 100122 destroyed
2015-08-14 10:00:28.333 PMcom.apple.xpc.launchd[1](com.apple.bird[267]) Service exited due to signal: Abort trap: 6
2015-08-14 10:00:28.392 PMReportCrash[21508]Saved crash report for bird[267] version 321.9 to /Users/userx/Library/Logs/DiagnosticReports/bird_2015-08-14-220028_OLM-userx.cr ash
2015-08-14 10:00:31.108 PMcloudphotosd[519]Failed to open '/Users/userx/Library/Containers/com.apple.cloudphotosd/Data/Library/Preference s/com.apple.cloudphotosd.plist' for events
2015-08-14 10:01:07.911 PMsharingd[254]Could not replace account with identifier: _local
2015-08-14 10:01:07.913 PMcom.apple.internetaccounts[262]Could not replace account with identifier: _local
2015-08-14 10:01:07.915 PMsoagent[268]Could not replace account with identifier: _local
    
pregunta Lee Sande 16.08.2015 - 15:47

1 respuesta

4

Luego de algunas investigaciones profundas, llegamos a la conclusión preliminar de que el culpable no era ningún malware sino una coincidencia infeliz que involucraba org.macosforge.xquartz.startx.plist, .bashrc y un comando xrd --merge ~/.Xdefaults . Ya que todos esos archivos fueron eliminados, no tenemos pruebas sólidas.

Dicho .bashrc se deriva de un precursor (Linux-). Fue muy adaptado para trabajar con OS X.

El servicio XQuartz comenzó a eliminar archivos con rm en la carpeta raíz después de leer el ~ / .bashrc activado por el comando xrd. La mayoría de los rms no tuvieron éxito debido a la falta de permisos de usuario. Sin embargo, la mayoría de los datos del usuario se eliminaron.

Después de crear una unidad de recuperación de datos con Data Rescue 4 (la función de Bootwell), un análisis profundo encontró una gran cantidad de archivos eliminados. Los archivos más importantes no se pudieron recuperar.

    
respondido por el klanomath 17.08.2015 - 20:18

Lea otras preguntas en las etiquetas