Questa crittografia o corruzione dei file è ransomware?

2

Ho dei backup di una cartella utente da una vecchia unità che ora sto organizzando e ho notato che i file sono corrotti o crittografati.

Le estensioni dei file e i nomi non sono cambiati, sembra che i file exe abbiano un impatto e con un'ulteriore analisi ho trovato dei buoni file. I file leggibili sono sotto circa 655 byte e ho pensato che forse è un tipo sistematico di if less than XXX then encrypt di logica. Ma ho anche trovato un file di 651 che è illeggibile e un altro di 655 è leggibile, sembra che qualcosa sotto i 650 byte sia sicuramente leggibile e sopra 1kb sicuramente non leggibile.

Ora potrebbero esserci alcuni file più leggibili ma devo ancora trovare qualche suggerimento per un'utilità Windows per fare questo?

Esempio di un file readme.txt illeggibile di 766 byte:

RÐÜ'„ÜAŒŠz>‹ú ©<ìyF’”Îã¸b{¿>Q(9 <UЈÔIMút€*GŽ#'nÚÁ°…‹Œ#2ª0SŠ'2Aàè€aÕ›’jÚm5ñ®‰¡2æimºÈóÇæ{ž+݇û'åûÛs’ؘÒý};rÎÙœÈÐÓK;=œ¼œ¬û#W&Ì9»nI›˜´
²y…ë$c×wT<¼ò}Sð¨æfté¤:eÖ+;’®iƒŒ‘ØmÄ<XôÝçRg&y4é^~9®]¢ÓC _@jyäLj¸«'dŽ<ŽK2T®f°>!@°Çødâ!YnmîÞÜ=ˆp°f|×V?œÍwöáÍèÃ[W£OòJl<‰Q‡,ùü*sõúÎt¹    @ë¯öyþ1G>zkJkŸX'Ï4Ë r @‰ŒJ¯³;ü¹ï«19QñW•[×ÞBG_fl›¤lP'ؑ1∌#  àžˆû°9[xø•Ÿ}.y«A2ÖäkˆsÌ÷'op3|ËÕøëT
ª°^Òé÷ÄÉñ3@ˆÀC%Íõj„£”¾ŠãíïsVõ   J:ÂrËá}Æw¾Ã&Eß9´Þ=y%¹
ù6 C¾MœlIöy€@kzQûˆK”158êòü¿­p¿õ3aò·ý‹p²PÁ€'”—s
.‚.ÉAô³ã´# ˜q
“ÂÂêËœ—4‡è'Š@Șw à¬Lyqo.ùƒ3Qž—çoœ¬<øÄÚÃ9äҮƽ†¦¬oVA h 9ÛVÝiÛ{%þ8›òNé’÷R7{8ñwŽ+Ç<GÏËr>Þul”,´YŸ<«îÈ™ø¬»z»~ö€ª'ÒŸ¯qoàÌHà–çD̾™NTJÜ_Áå1ävwò~·3ilàB™û"]o'z7Xò]]Wr%8r§·ñps¡$Ëhq'¸sÏc1ÖY'W6t¿:

RansomNoteCleaner segnala CryLocker tuttavia i file che etichetta sono solo di tipo HTML e se aperti sono tutti corrotti.

Quando eseguo la scansione con CryptoSerach per CryLocker file crittografati, trova 0 risultati.

Ora, anche se penso che sia davvero difficile, mi sembra di ricordare vagamente un episodio di qualche anno fa su un pop-up ransomware, ma penseresti che avrei notato i miei file danneggiati.

Questa è una roba davvero nostalgica di oltre un decennio fa, quindi una parte di me vorrebbe che fosse un ransomware che porta qualche speranza di farli tornare indietro.

E sì, questo è stato un brusco risveglio che ora sto elaborando un processo per avere backup dei backup nel cloud.

UPDATE:

Sembra che si sia trattato di un attacco ransomware, non riesco ancora a decidere quale dei due abbia avuto buone copie di tutti i file interessati: lezione qui, backup dei backup!

    
posta Daniel Sokolowski 07.10.2018 - 17:37
fonte

1 risposta

1

Il tuo punteggio di entropia di Shannon di 7,9 è molto alto (la scala va da 1 a 8).

Anche se non posso dire con certezza che questo sia il risultato del ransomware che codifica i file, sembra probabile che prendiamo in considerazione la tua precedente constatazione positiva che identifica questo come CryLocker.

Ho esaminato la mia lista di decrittografi , ma non ne ho trovato uno che menzionasse espressamente CryLocker. È possibile che l'identificazione di CryLocker non fosse abbastanza accurata, e uno di quei decrittografi potrebbe ancora aiutare.

    
risposta data 07.10.2018 - 19:27
fonte

Leggi altre domande sui tag