it-swarm-eu.dev

Scansione per i file che sono stati crittografati da CryptoLocker

Sto solo chiedendo nel caso qualcuno abbia già fatto l'analisi. Un cliente ha un ampio set di unità di rete mappate su una macchina infetta CryptoLocker. L'infezione stessa è stata trattata. Sto cercando uno strumento o solo un modello binario da abbinare per verificare che un file non sia crittografato in base a un'intestazione/caratteristica identificativa di qualche tipo nel file stesso.

Sì, so che l'elenco dei file crittografati si trova nel registro della macchina infetta. Stiamo cercando una verifica diretta.

Per chiarire: sappiamo quali estensioni potrebbero essere interessate, sto solo cercando un modo per verificare se un file specifico è crittografato senza fare doppio clic umano su di esso. Milioni di file potenzialmente interessati, quindi un test manuale non è un'opzione. Finora il mio fallback è un buon "file" che mi darà un OK confermato, ma solo su alcuni tipi di file.

Non ho ancora trovato elementi comuni tra i file crittografati di esempio, tranne "che sembra casuale".

10
Paul Doom

Non ho trovato nessuna caratteristica unica su cui attingere che avrebbe prodotto risultati altamente affidabili. Il suggerimento Zip non ha prodotto differenze significative con i formati compressi come JPG o i più recenti documenti compressi di Office.

Mi sono rivolto a un'alternativa goffo ma semi-utile: confrontare l'estensione del file con i risultati di un controllo "magico".

Invece di usare il comando file da uno script bash, ho elaborato uno script Python per un po 'più di potenza. (Qui è il codice: https://github.com/Citon/strangethings/releases/ ) I risultati sono stati un discreto punto di partenza. Per ridurre i falsi positivi è necessario ottimizzare il database dei file magici e manipolare le eccezioni.

Per provarlo su una directory colpita da CryptoLocker, scarica il pacchetto StrangeThings e installalo seguendo le istruzioni README. Quindi, copia "strangethings.conf-SAMPLE" in "strangething.conf". Eseguilo così:

strangethings.py -c strangethings.conf -s cryptolocker DIRECTORYTOSCAN

YMMV. Testato su Linux (Debian e CentOS). Vedi la risposta di @ brad-churby per uno strumento simile per Windows di OmniSpear.

2
Paul Doom

Abbiamo creato uno strumento di scansione gratuito che trova i file crittografati CryptoLocker che scarica l'elenco in un file CSV. Ciò è utile quando si cerca di capire quali file devono essere ripristinati dal backup.

http://omnispear.com/tools/cryptolocker-scan-tool

10
Brad Churby

CryptoUnlocker può rilevare (e decrittografare, se hai la chiave privata) i file crittografati da Cryptolocker. La sezione "CryptoLocker Encrypted File Format" descrive il formato di un file cryptolocked, ma in breve puoi rilevarne uno procedendo come segue:

  1. Leggi i primi 20 byte del file (questo è un hash SHA1)
  2. Leggere i successivi 256 byte e anteporre quattro zero byte al risultato
  3. SHA1 il risultato dal passaggio n. 2 e confrontarlo con il risultato dal passaggio n. 1. Se sono uguali, questo file è Cryptolocked.
6
Josh Townzen

I file normali non dovrebbero apparire casuali. Ciò significa che contengono schemi che li distinguono dal rumore casuale che potresti trovare nella maggior parte dei file crittografati.

Un file crittografato non dovrebbe ridursi quando lo comprimi. Se un file si riduce, puoi essere certo che non sia crittografato.

Ovviamente non succede il contrario e potresti dover controllare i file che non si riducono quando li comprimi.

0
Christian

Abbiamo montato un'immagine di backup da prima dell'attacco ed eseguito WinMerge.

Suggerimenti per semplificare il ripristino:

In Opzioni, imposta il metodo di confronto su "Contenuti rapidi", [x] Stop dopo la prima differenza e limite di confronto rapido 1mb.

E quindi poiché Cryptolocker non cambia la data/ora di modifica, ordina per ora modificata e non copiare tutti i file contrassegnati con un * nel campo timestamp.

0
Dan Buhler

Quello che ho scoperto quando la nostra azienda è stata colpita è che ogni file sul server che è stato crittografato ha avuto anche la sua proprietà modificata rispetto a quella degli utenti che possedevano il PC infetto. Per la maggior parte si trattava di cercare tutti i drive per i file di proprietà di quella persona ed era chiaro che anche quei file avevano tutte le stesse date di modifica se erano danneggiati. Ho trovato un programma che ti permette di cercare per proprietario qui. www.grinadmin.com È un eseguibile autonomo gratuito che ha funzionato MOLTO bene e consente di creare un file CSV per i risultati di ogni scansione. L'unico problema che ho avuto è stato sulle condivisioni del server in cui questo individuo aveva normalmente molti dei suoi file. Questo era senza speranza in quanto c'erano oltre 17.000 file che mostravano di sua proprietà in centinaia di cartelle. Proverò la scansione del criptovaluta troppo menzionata su quella condivisione e vedrò. Sono così felice che abbiamo investito in un sofisticato sistema dorsale! Meno male! Cosa interessante da notare: l'infezione è arrivata tramite un'e-mail mascherata da quella della nostra sede che offre un servizio vocale digitale. Era in un file wav! Due dei file infetti sul suo laptop erano file RealPlayer, quindi ha senso.

0
Steve Southard