Scansione per i file di quelli che sono stati crittografati da CryptoLocker

10

Sto solo chiedendo nel caso qualcuno abbia già fatto l'analisi. Un cliente dispone di un ampio set di unità di rete mappate su una macchina infetta da CryptoLocker. L'infezione stessa è stata trattata. Sto cercando uno strumento o solo un pattern binario da abbinare per verificare che un file non sia crittografato in base a un'intestazione / caratteristica identificativa di qualche tipo nel file stesso.

Sì, so che l'elenco dei file crittografati si trova nel registro della macchina infetta. Stiamo cercando una verifica diretta.

Per chiarire: sappiamo quali estensioni potrebbero essere influenzate, sto solo cercando un modo per verificare se un file specifico è crittografato senza un doppio clic umano su di esso. Milioni di file potenzialmente interessati, quindi un test manuale non è un'opzione. Finora il mio fallback è un buon vecchio "file" che mi darà un OK confermato, ma solo su alcuni tipi di file.

Non ho ancora trovato elementi comuni tra file crittografati di esempio, diversi da "che sembra casuale".

    
posta Paul Doom 24.10.2013 - 18:38
fonte

6 risposte

2

Non ho trovato caratteristiche uniche da cui attingere che avrebbero prodotto risultati altamente affidabili. Il suggerimento di zip non ha prodotto una differenza significativa con i formati compressi come JPG oi più recenti documenti Office compressi.

Ho scelto un'alternativa goffo ma semi-utile: confrontare l'estensione del file con i risultati di un controllo "magico".

Invece di usare il comando file da uno script bash, ho creato uno script Python per avere più potenza. (Ecco il codice: link ) I risultati sono stati un buon punto di partenza. Per ridurre i falsi positivi, è necessario ottimizzare il database dei file magici e giocare con le eccezioni.

Per provarlo su una directory colpita da CryptoLocker, scarica il pacchetto StrangeThings e installa seguendo le istruzioni README. Quindi, copia "strangethings.conf-SAMPLE" in "strangething.conf". Esegui in questo modo:

strangethings.py -c strangethings.conf -s cryptolocker DIRECTORYTOSCAN

YMMV. Testato su Linux (Debian e CentOS). Vedi la risposta di @ brad-churby per uno strumento simile per Windows da OmniSpear.

    
risposta data 27.10.2013 - 08:01
fonte
10

Abbiamo creato uno strumento di scansione gratuito in cui i file crittografati di CryptoLocker scaricano l'elenco in un file CSV. È utile quando cerchi di capire quali file devono essere ripristinati dal backup.

link

    
risposta data 27.10.2013 - 01:45
fonte
6

CryptoUnlocker può rilevare (e decrittografare, se hai la chiave privata) file crittografati da Cryptolocker . La sezione "Formato file crittografato CryptoLocker" descrive il formato di un file crittografato, ma in breve, puoi rilevarne uno effettuando le seguenti operazioni:

  1. Leggi i primi 20 byte del file (questo è un hash SHA1)
  2. Leggi i successivi 256 byte e anteporre quattro byte zero al risultato
  3. SHA1 il risultato del passaggio n. 2 e confrontalo con il risultato del passaggio n. Se sono uguali, questo file è Cryptolocked.
risposta data 03.06.2014 - 20:54
fonte
0

I file normali non dovrebbero apparire casuali. Ciò significa che contengono schemi che li distinguono dal rumore casuale che si troverà nella maggior parte dei file crittografati.

Un file crittografato non dovrebbe ridursi quando lo fai zip. Se un file si riduce, puoi essere certo che non è crittografato.

Ovviamente non succede il contrario e potresti ancora dover controllare i file che non diventano più piccoli quando li fai zip.

    
risposta data 25.10.2013 - 01:07
fonte
0

Quello che ho trovato quando la nostra azienda è stata colpita è che ogni file sul server che è stato crittografato ha anche cambiato la sua proprietà in quella degli utenti che possedevano il PC infetto. Per la maggior parte si trattava di cercare tutte le unità per i file di proprietà di quella persona ed era chiaro che anche quei file avevano tutti le stesse date di modifica se erano corrotti. Ho trovato un programma che ti permette di cercare per proprietario qui. www.grinadmin.com È un eseguibile standalone gratuito che ha funzionato MOLTO bene e ti consente di creare un file CSV per i risultati di ogni scansione. L'unico problema che ho avuto è stato sulle condivisioni di server in cui questo individuo normalmente aveva molti dei suoi file. Era senza speranza perché c'erano oltre 17.000 file che mostravano di possederlo in centinaia di cartelle. Proverò la scansione di cripto-armadi troppo citato su quella condivisione e vedere. Sono così felice di aver investito in un sofisticato sistema di schienali! Meno male! Una cosa interessante da notare: l'infezione è arrivata tramite un'e-mail che si mascherava da quella della nostra sede centrale che offriva un messaggio vocale digitale. Era in un file wav! Due dei file infetti sul suo laptop erano file RealPlayer, quindi è logico.

    
risposta data 15.11.2013 - 19:12
fonte
0

Abbiamo montato un'immagine di backup prima dell'attacco ed eseguito WinMerge.

Suggerimenti per semplificare il ripristino:

Nelle opzioni, imposta il metodo di confronto su "Contenuti rapidi", [x] Interrompi dopo la prima differenza e Limite di confronto rapido 1mb.

E poi perché Cryptolocker non modifica la data / ora di modifica, ordina per ora modificata e non copia tutti i file contrassegnati con un * nel campo timestamp.

    
risposta data 12.05.2014 - 19:57
fonte

Leggi altre domande sui tag