Recherche de fichiers qui ont été chiffrés par CryptoLocker
Je demande simplement au cas où quelqu'un aurait déjà fait l'analyse. Un client possède un grand nombre de lecteurs réseau qui ont été mappés sur une machine infectée par CryptoLocker. L'infection elle-même a été traitée. Je recherche un outil ou simplement un modèle binaire à faire correspondre pour vérifier qu'un fichier n'est pas chiffré sur la base d'un en-tête/caractéristique d'identification d'une sorte dans le fichier lui-même.
Oui, je sais que la liste des fichiers cryptés se trouve dans le registre de la machine infectée. Nous recherchons une vérification directe.
Pour clarifier: nous savons quelles extensions pourraient être affectées, je cherche juste un moyen de vérifier si un fichier spécifique est chiffré sans avoir un double-clic humain dessus. Des millions de fichiers sont potentiellement affectés, un test manuel n'est donc pas une option. Jusqu'à présent, ma solution de repli est un bon "fichier" qui me donnera un OK confirmé, mais uniquement sur certains types de fichiers.
Je n'ai pas encore trouvé de points communs entre les exemples de fichiers cryptés, à part "qui semble aléatoire".
Je n'ai trouvé aucune caractéristique unique sur laquelle puiser pour produire des résultats très fiables. La suggestion de Zip n'a pas produit de différence significative avec les formats compressés comme JPG ou les documents Office compressés plus récents.
Je me suis tourné vers une alternative maladroite mais semi-utile: comparer l'extension du fichier avec les résultats d'une vérification "magique".
Au lieu d'utiliser la commande file d'un script bash, j'ai préparé un script Python pour plus de puissance. (Ici est le code: https://github.com/Citon/strangethings/releases/ ) Les résultats ont été un bon point de départ. Ajuster votre base de données de fichiers magiques et jouer avec les exceptions est nécessaire pour réduire les faux positifs.
Pour essayer un répertoire atteint par CryptoLocker, téléchargez le package StrangeThings et installez en suivant les instructions README. Ensuite, copiez "strangethings.conf-SAMPLE" dans "strangething.conf". Exécutez-le ainsi:
strangethings.py -c strangethings.conf -s cryptolocker RÉPERTOIRETOSCAN
YMMV. Testé sous Linux (Debian et CentOS). Voir la réponse de @ brad-churby pour un outil similaire pour Windows d'OmniSpear.
Nous avons créé un outil d'analyse gratuit qui trouve que les fichiers cryptés CryptoLocker transfèrent la liste dans un fichier CSV. C'est pratique lorsque vous essayez de comprendre quels fichiers doivent être restaurés à partir de la sauvegarde.
CryptoUnlocker peut détecter (et décrypter, si vous avez la clé privée) les fichiers cryptés par Cryptolocker. La section "CryptoLocker Encrypted File Format" décrit le format d'un fichier cryptolocké, mais en bref, vous pouvez en détecter un en procédant comme suit:
- Lisez les 20 premiers octets du fichier (il s'agit d'un hachage SHA1)
- Lire les 256 octets suivants et ajouter quatre octets zéro au résultat
- SHA1 le résultat de l'étape # 2 et le comparer au résultat de l'étape # 1. S'ils sont identiques, ce fichier est verrouillé par cryptage.
Les fichiers normaux ne sont pas censés avoir l'air aléatoires. Cela signifie qu'ils contiennent des motifs qui les distinguent du bruit aléatoire que vous trouveriez dans la plupart des fichiers cryptés.
Un fichier crypté ne doit pas devenir plus petit lorsque vous le zippez. Si un fichier devient plus petit, vous pouvez être certain qu'il n'est pas crypté.
Bien sûr, cela ne va pas dans l'autre sens et vous devrez peut-être toujours vérifier les fichiers qui ne deviennent pas plus petits lorsque vous les zippez.
Nous avons monté une image de sauvegarde d'avant l'attaque et exécuté WinMerge.
Conseils pour faciliter la restauration:
Sous les options, définissez la méthode de comparaison sur "Contenu rapide", [x] Arrêter après la première différence et 1 Mo de limite de comparaison rapide.
Et puis parce que Cryptolocker ne change pas la date/heure de modification, triez par heure modifiée et ne copiez pas tous les fichiers marqués d'un * dans le champ d'horodatage.
Ce que j'ai trouvé lorsque notre entreprise a été touchée, c'est que chaque fichier sur le serveur qui était crypté avait également sa propriété changée en celle des utilisateurs qui possédaient le PC infecté. Pour la plupart, il s'agissait de rechercher dans tous les lecteurs les fichiers appartenant à cette personne et il était clair que ces fichiers avaient également les mêmes dates de modification s'ils étaient corrompus. J'ai trouvé un programme qui vous permet de rechercher par propriétaire ici. www.grinadmin.com C'est un exécutable autonome gratuit qui a très bien fonctionné et vous permet de créer un fichier csv pour les résultats de chaque analyse. Le seul problème que j'ai eu était sur les partages de serveur où cette personne avait normalement beaucoup de ses propres fichiers. C'était sans espoir car il y avait plus de 17 000 fichiers montrant qu'il appartenait à des centaines de dossiers. Je vais essayer l'analyse du casier cryptographique également mentionnée sur ce partage et voir. Je suis tellement content que nous ayons investi dans un système de dos sophistiqué! Ouf! Chose intéressante à noter: l'infection est survenue via un e-mail déguisé en un message provenant de notre siège social offrant une messagerie vocale numérique. C'était dans un fichier wav! Deux des fichiers infectés sur son ordinateur portable étaient des fichiers RealPlayer, ce qui est logique.