¿Cómo recuperar archivos del directorio de inicio que el malware eliminó en OS X 10.10.5 Yosemite?

Hace dos días, de alguna manera, mi Mac con OS X Yosemite 10.10.5 se infectó con malware y eliminó casi todos mis archivos de mi directorio de inicio. No tengo idea de cómo sucedió (no fue porque hice clic en un anuncio, ni siquiera estaba navegando por la web cuando sucedió y también ejecuto Adblock en mis navegadores Safari, Chrome y Firefox). De repente, a las 10 p.m., apareció una ventana xterm con toneladas de líneas corriendo con nombres de archivos y mensajes de "permiso denegado". Entré en pánico y apagué la computadora.

Luego lo reinicié y luego, cuando abrí la Terminal, apareció el xterm y comenzó con mensajes similares de "permiso denegado" (supuse que se iniciaría automáticamente cuando abrí la Terminal). Lo apagué de nuevo y no pareció apagarse por completo. Luego, después de unos minutos, traté de iniciarlo y no arrancó durante los siguientes 5 o 10 minutos más o menos. Luego, cuando se inició, la configuración de OS X era nueva (por ejemplo, mi Dock se movió de la izquierda a la parte inferior central, etc., como sería si fuera una instalación nueva). Luego miré en mi directorio de inicio y casi todos los archivos se eliminaron, extrañamente excepto algunos (supongo que estos deben tener permisos diferentes).

Perdí todas mis fotos y archivos en los que estaba trabajando. Tengo una copia de seguridad de Time Machine que tiene 70 días.

Miré la consola y esto fue lo que encontré.

¿Puede alguien decirme qué es esto, cómo sucedió y cómo puedo eliminarlo de mi sistema?

El registro de la consola está debajo.

2015-08-14 10:00:23.702 PMFinder[240]CreateWithFileInfo failed to create URL with FSRef, falling back to blank icon.
2015-08-14 10:00:24.620 PMbird[267]someone ripped the database from under our feet
LIMITS ------------------------------------------------------------------------
RLIMIT_CORE 0 infinity
RLIMIT_CPU infinity infinity
RLIMIT_DATA infinity infinity
RLIMIT_FSIZE infinity infinity
RLIMIT_MEMLOCK infinity infinity
RLIMIT_NOFILE 16384 16384
RLIMIT_NPROC 709 1064
RLIMIT_RSS infinity infinity
DISK (/Users/userx/Library/Mobile Documents)--------------------------------
NSFileSystemNodes 121846308
NSFileSystemSize 499082485760
NSFileSystemFreeSize 220219854848
NSFileSystemFreeNodes 53764613
NSFileSystemNumber 16777220
2015-08-14 10:00:24.637 PMcom.apple.xpc.launchd[1](com.apple.ReportCrash[21508]) Endpoint has been activated through legacy launch(3) APIs. Please switch to XPC or bootstrap_check_in(): com.apple.ReportCrash
2015-08-14 10:00:24.807 PMcom.apple.SecurityServer[85]Killing auth hosts
2015-08-14 10:00:24.807 PMcom.apple.SecurityServer[85]Session 100122 destroyed
2015-08-14 10:00:28.333 PMcom.apple.xpc.launchd[1](com.apple.bird[267]) Service exited due to signal: Abort trap: 6
2015-08-14 10:00:28.392 PMReportCrash[21508]Saved crash report for bird[267] version 321.9 to /Users/userx/Library/Logs/DiagnosticReports/bird_2015-08-14-220028_OLM-userx.cr ash
2015-08-14 10:00:31.108 PMcloudphotosd[519]Failed to open '/Users/userx/Library/Containers/com.apple.cloudphotosd/Data/Library/Preference s/com.apple.cloudphotosd.plist' for events
2015-08-14 10:01:07.911 PMsharingd[254]Could not replace account with identifier: _local
2015-08-14 10:01:07.913 PMcom.apple.internetaccounts[262]Could not replace account with identifier: _local
2015-08-14 10:01:07.915 PMsoagent[268]Could not replace account with identifier: _local
Además de mi pregunta, ¿cómo puedo asegurarme de que este malware ya no esté en mi sistema? ¿Cómo puedo asegurarme de que esto nunca vuelva a suceder?
¿Algo de interés system.logjusto antes (o alrededor) de las 10 en punto? Los mensajes anteriores dicen principalmente que faltan datos en algún proceso en segundo plano (no es de extrañar que se hayan eliminado archivos).
Hola, el system.log parece estar vacío antes del 16 de agosto a las 00:00:01; sin embargo, aquí está el archivo de registro completo de "Todos los mensajes" en la consola: dropbox.com/s/33oxmuufwfmb498/…
@LeeSande Publique también su org.macosforge.xquartz.startx.plist y ~/.bashrc
@LeeSande a partir de "2015-08-14 10:11:54.087 PM", el servicio se está ejecutando sin control tratando de rmarlo todo...
@klanomath, gracias por tu nota. Sí, eliminó casi todo en mi directorio de inicio. También eliminó mi ~/.bashrc. Después de entrar en pánico, eliminé todo en mi /Library/LaunchAgents e hice "Empty Trash" (¡incluyendo /Library/LaunchAgents/org.macosforge.xquartz.startx.plist)!
@LeeSande ¿Qué tipo de instalador X11 instaló anteriormente?
@klanomath "Acerca de X11" me dice que tengo "XQuartz 2.7.7 (xorg-srver 1.15.2).
¿Podría por favor aclarar su pregunta? Tal como está ahora veo tres preguntas (dos de ellas relacionadas): 1.- Ayuda para recuperar los archivos 2.- Identificación de lo ocurrido 3.- Una vez identificado, qué medidas preventivas se pueden tomar.
@JaimeSantaCruz Gracias por tu comentario. De hecho, tengo tres preguntas. klanomath piensa (y creo que probablemente tenga razón) que el problema fue causado por mí al modificar de alguna manera mi .bashrc para que se formara un comando "rm". Así que me alegró saber que no es un malware. Me complace enviar un enlace a mis mensajes de consola completos si desea echar un vistazo.
Gracias, en realidad no soy tan bueno analizando los registros de la consola como lo es @klanomath, así que dejaré que él te ayude; Solo estaba tratando de hacer que tu pregunta –y posible respuesta– sea útil para futuros visitantes, y eso es más fácil cuando solo hay una pregunta por publicación; Veo que ha avanzado en la resolución de su pregunta en el chat, por lo que tal vez, si es posible, pueda actualizar su OP más tarde y agregar lo que le haya ayudado como respuesta para futuras referencias.

Respuestas (1)

Después de algunas investigaciones profundas, llegamos a la conclusión preliminar de que el culpable no fue ningún malware sino una desafortunada coincidencia que involucró a org.macosforge.xquartz.startx.plist, .bashrc y un xrd --merge ~/.Xdefaultscomando. Sin embargo, dado que todos esos archivos se eliminaron, no tenemos pruebas sólidas.

Dicho .bashrc se deriva de un (Linux-)precursor. Fue fuertemente adaptado para trabajar con OS X.

El servicio XQuartz comenzó a eliminar archivos rmen la carpeta raíz después de leer ~/.bashrc activado por el comando xrd. La mayoría de los rms no tuvieron éxito debido a la falta de permisos de usuario. Sin embargo, la mayoría de los datos de usuario se eliminaron.

Después de crear una memoria USB de recuperación con Data Rescue 4 (la función Bootwell), un análisis profundo encontró muchos archivos eliminados. Los archivos más importantes no se pudieron recuperar.

¿Cómo recuperar archivos del directorio de inicio que el malware eliminó en OS X 10.10.5 Yosemite?
RespuestasAquíPolítica de privacidad1y, 0v