Scansione per i file di quelli che sono stati crittografati da CryptoLocker

Non ho trovato caratteristiche uniche da cui attingere che avrebbero prodotto risultati altamente affidabili. Il suggerimento di zip non ha prodotto una differenza significativa con i formati compressi come JPG oi più recenti documenti Office compressi.

Ho scelto un'alternativa goffo ma semi-utile: confrontare l'estensione del file con i risultati di un controllo "magico".

Invece di usare il comando file da uno script bash, ho creato uno script Python per avere più potenza. (Ecco il codice: link ) I risultati sono stati un buon punto di partenza. Per ridurre i falsi positivi, è necessario ottimizzare il database dei file magici e giocare con le eccezioni.

Per provarlo su una directory colpita da CryptoLocker, scarica il pacchetto StrangeThings e installa seguendo le istruzioni README. Quindi, copia "strangethings.conf-SAMPLE" in "strangething.conf". Esegui in questo modo:

strangethings.py -c strangethings.conf -s cryptolocker DIRECTORYTOSCAN

YMMV. Testato su Linux (Debian e CentOS). Vedi la risposta di @ brad-churby per uno strumento simile per Windows da OmniSpear.

Abbiamo creato uno strumento di scansione gratuito in cui i file crittografati di CryptoLocker scaricano l'elenco in un file CSV. È utile quando cerchi di capire quali file devono essere ripristinati dal backup.

link

CryptoUnlocker può rilevare (e decrittografare, se hai la chiave privata) file crittografati da Cryptolocker . La sezione "Formato file crittografato CryptoLocker" descrive il formato di un file crittografato, ma in breve, puoi rilevarne uno effettuando le seguenti operazioni:

1. Leggi i primi 20 byte del file (questo è un hash SHA1)
2. Leggi i successivi 256 byte e anteporre quattro byte zero al risultato
3. SHA1 il risultato del passaggio n. 2 e confrontalo con il risultato del passaggio n. Se sono uguali, questo file è Cryptolocked.

I file normali non dovrebbero apparire casuali. Ciò significa che contengono schemi che li distinguono dal rumore casuale che si troverà nella maggior parte dei file crittografati.

Un file crittografato non dovrebbe ridursi quando lo fai zip. Se un file si riduce, puoi essere certo che non è crittografato.

Ovviamente non succede il contrario e potresti ancora dover controllare i file che non diventano più piccoli quando li fai zip.

Quello che ho trovato quando la nostra azienda è stata colpita è che ogni file sul server che è stato crittografato ha anche cambiato la sua proprietà in quella degli utenti che possedevano il PC infetto. Per la maggior parte si trattava di cercare tutte le unità per i file di proprietà di quella persona ed era chiaro che anche quei file avevano tutti le stesse date di modifica se erano corrotti. Ho trovato un programma che ti permette di cercare per proprietario qui. www.grinadmin.com È un eseguibile standalone gratuito che ha funzionato MOLTO bene e ti consente di creare un file CSV per i risultati di ogni scansione. L'unico problema che ho avuto è stato sulle condivisioni di server in cui questo individuo normalmente aveva molti dei suoi file. Era senza speranza perché c'erano oltre 17.000 file che mostravano di possederlo in centinaia di cartelle. Proverò la scansione di cripto-armadi troppo citato su quella condivisione e vedere. Sono così felice di aver investito in un sofisticato sistema di schienali! Meno male! Una cosa interessante da notare: l'infezione è arrivata tramite un'e-mail che si mascherava da quella della nostra sede centrale che offriva un messaggio vocale digitale. Era in un file wav! Due dei file infetti sul suo laptop erano file RealPlayer, quindi è logico.

Abbiamo montato un'immagine di backup prima dell'attacco ed eseguito WinMerge.

Suggerimenti per semplificare il ripristino:

Nelle opzioni, imposta il metodo di confronto su "Contenuti rapidi", [x] Interrompi dopo la prima differenza e Limite di confronto rapido 1mb.

E poi perché Cryptolocker non modifica la data / ora di modifica, ordina per ora modificata e non copia tutti i file contrassegnati con un * nel campo timestamp.