我只是问是否有人已经完成了分析。客户拥有大量网络驱动器,这些驱动器映射到受 CryptoLocker 感染的机器。感染本身已得到治疗。我正在寻找一种工具或只是一种二进制模式来匹配,以验证文件是否未根据文件本身中某种类型的标头/标识特征进行加密。
是的,我知道加密文件列表在受感染机器的注册表中。我们正在寻找直接验证。
澄清一下:我们知道哪些扩展可能会受到影响,我只是在寻找一种方法来检查特定文件是否已加密,而无需人工双击它。数以百万计的文件可能会受到影响,因此不能选择手动测试。到目前为止,我的后备是很好的“文件”,它会给我一个确认好的,但仅限于某些文件类型。
除了“看起来很随机”之外,我还没有发现示例加密文件之间的任何共同点。
我们创建了一个免费的扫描工具,可以找到 CryptoLocker 加密文件,将列表转储到 CSV 文件中。当试图找出需要从备份中恢复哪些文件时,这很方便。
CryptoUnlocker可以检测(和解密,如果你有私钥)由 Cryptolocker 加密的文件。“CryptoLocker 加密文件格式”部分描述了加密文件的格式,但简而言之,您可以通过执行以下操作来检测:
我发现没有可以利用的独特特征可以产生高度可靠的结果。zip 建议与 JPG 或较新的压缩 Office 文档等压缩格式没有显着差异。
我转向了一个笨重但半有用的替代方案:将文件扩展名与“魔术”检查的结果进行比较。
我没有使用 bash 脚本中的file命令,而是编写了一个 Python 脚本以获得更多功能。(这里是代码:https ://github.com/Citon/strangethings/releases/ )结果是一个不错的起点。为了减少误报,需要调整你的魔法文件数据库并处理异常。
要尝试使用 CryptoLocker 命中的目录,请下载 StrangeThings 包并按照 README 说明进行安装。然后,将“strangethings.conf-SAMPLE”复制到“strangething.conf”。像这样运行它:
奇怪的东西.py -c 奇怪的东西.conf -s 密码锁 DIRECTORYTOSCAN
YMMV。在 Linux(Debian 和 CentOS)上测试。请参阅@brad-churby 的答案,了解来自 OmniSpear 的类似 Windows 工具。
普通文件不应该看起来是随机的。这意味着它们包含将它们与您在大多数加密文件中发现的随机噪声区分开来的模式。
压缩文件时,加密文件不应变小。如果文件变小,您可以确定它没有加密。
当然,它不会反过来,您可能仍然需要检查压缩文件时不会变小的文件。