CryptoLockerによって暗号化されたファイルをスキャンする

Question

誰かがすでに分析を行っている場合に備えてお願いします。顧客が、CryptoLockerに感染したマシンにマップされたネットワークドライブの大規模なセットを持っています。感染自体は治療されています。ファイル自体の何らかのヘッダー/識別特性に基づいてファイルが暗号化されていないことを確認するために一致するツールまたはバイナリパターンを探しています。

はい、暗号化されたファイルのリストが感染したマシンのレジストリにあることは知っています。直接確認を求めています。

明確にするために、影響を受ける可能性のある拡張機能を知っています。人間がダブルクリックせずに特定のファイルが暗号化されているかどうかを確認する方法を探しています。何百万ものファイルが影響を受ける可能性があるため、手動テストはオプションではありません。これまでのところ、私のフォールバックは「古いファイル」であり、確認済みのOKを提供しますが、一部のファイルタイプのみです。

「ランダムに見える」以外は、サンプルの暗号化ファイルに共通点はまだありません。

Paul Doom · Accepted Answer

信頼性の高い結果を生み出す、それを利用する独特の特性は見つかりませんでした。 Zipの提案は、JPGや新しい圧縮されたOfficeドキュメントなどの圧縮形式と大きな違いはありませんでした。

私は不格好で半有用な代替手段を検討しました。ファイル拡張子を「マジック」チェックの結果と比較します。

Bashスクリプトからfileコマンドを使用する代わりに、Pythonスクリプトを作成して、さらにパワーアップしました。コードは次のとおりです https://github.com/Citon/strangethings/releases/ ）結果はまともな出発点でした誤検知を減らすには、マジックファイルデータベースを調整し、例外をいじる必要があります。

CryptoLockerによってヒットしたディレクトリを試してみるには、StrangeThingsパッケージをダウンロードして、READMEの指示に従ってインストールします。次に、「strangethings.conf-SAMPLE」を「strangething.conf」にコピーします。実行します。そのようです：

strangethings.py -c strangethings.conf -s cryptolocker DIRECTORYTOSCAN

YMMV。 Linux（DebianおよびCentOS）でテスト済み。 OmniSpearのWindows用の同様のツールについては、@ brad-churbyからの回答を参照してください。

Brad Churby · Answer

CryptoLockerで暗号化されたファイルがリストをCSVファイルにダンプすることを検出する無料のスキャンツールを作成しました。これは、バックアップから復元する必要のあるファイルを特定する場合に便利です。

http://omnispear.com/tools/cryptolocker-scan-tool

Josh Townzen · Answer

CryptoUnlocker は、Cryptolockerで暗号化されたファイルを検出（および秘密鍵がある場合は復号化）できます。「CryptoLocker暗号化ファイルの形式」セクションでは、暗号化ロックされたファイルの形式について説明していますが、簡単に言うと、次の方法で検出できます。

ファイルの最初の20バイトを読み取る（これはSHA1ハッシュです）
次の256バイトを読み取り、結果に4つのゼロバイトを付加します。
ステップ＃2の結果をSHA1し、ステップ＃1の結果と比較します。それらが同じ場合、このファイルは暗号化されています。

Christian · Answer

通常のファイルはランダムに見えるとは限りません。つまり、ほとんどの暗号化されたファイルで見られるランダムノイズと区別するパターンが含まれています。

暗号化されたファイルは、圧縮しても小さくならないはずです。ファイルが小さくなった場合、暗号化されていないことは確かです。

もちろん、それは逆に行きません、そしてあなたがそれらをZipするときまだ小さくならないファイルをチェックしなければならないかもしれません。

Dan Buhler · Answer

攻撃前のバックアップイメージをマウントして、WinMergeを実行しました。

復元を非常に簡単にするためのヒント：

オプションの下で、[比較方法]を[クイックコンテンツ]、[[x]最初の差異の後で停止]、および1MBのクイック比較制限に設定します。

また、Cryptolockerは変更日時を変更しないため、変更日時で並べ替え、タイムスタンプフィールドに*が付いているすべてのファイルをコピーしないでください。

Steve Southard · Answer

私たちの会社が被害を受けたときに見つけたのは、暗号化されたサーバー上の各ファイルの所有権も、感染したPCを所有していたユーザーの所有権に変更されたことです。ほとんどの場合、そのユーザーが所有するファイルをすべてのドライブで検索することでした。ファイルが破損している場合、それらのファイルもすべて同じ変更日を持っていることは明らかでした。ここで所有者で検索できるプログラムを見つけました。 www.grinadmin.comこれは無料のスタンドアロン実行可能ファイルであり、非常にうまく機能し、各スキャンの結果のcsvファイルを作成できます。私が持っていた唯一の問題は、この個人が通常自分のファイルをたくさん持っているサーバー共有でした。何百ものフォルダに彼が所有している17,000以上のファイルがあったため、それは絶望的でした。私もその共有について言及した暗号ロッカースキャンを試してみます。洗練されたバックシステムに投資してよかったです。ふew！興味深いことに、この感染は、デジタルボイスメールを提供する本社からのメールを装った電子メールを介して発生しました。それはwavファイルでした！彼のラップトップ上の感染したファイルのうちの2つはRealPlayerファイルであり、それは理にかなっています。