it-swarm.com.de

Scannen nach Dateien, die von CryptoLocker verschlüsselt wurden

Ich frage nur, ob jemand die Analyse bereits durchgeführt hat. Ein Kunde verfügt über eine große Anzahl von Netzwerklaufwerken, die einem mit CryptoLocker infizierten Computer zugeordnet wurden. Die Infektion selbst wurde behandelt. Ich suche nach einem Tool oder nur nach einem passenden Binärmuster, um zu überprüfen, ob eine Datei nicht anhand eines Headers/Identifizierungsmerkmals in der Datei selbst verschlüsselt ist.

Ja, ich weiß, dass sich die Liste der verschlüsselten Dateien in der Registrierung des infizierten Computers befindet. Wir suchen eine direkte Überprüfung.

Zur Verdeutlichung: Wir wissen, welche Erweiterungen betroffen sein könnten. Ich suche nur nach einer Möglichkeit, um zu überprüfen, ob eine bestimmte Datei verschlüsselt ist, ohne dass ein Mensch darauf doppelklickt. Millionen von Dateien sind möglicherweise betroffen, sodass ein manueller Test nicht möglich ist. Bisher ist mein Fallback eine gute alte "Datei", die mir ein bestätigtes OK gibt, aber nur bei einigen Dateitypen.

Ich habe noch keine Gemeinsamkeiten zwischen verschlüsselten Beispieldateien gefunden, außer "das sieht zufällig aus".

10
Paul Doom

Ich fand keine einzigartige Eigenschaft, auf die ich zurückgreifen könnte, um äußerst zuverlässige Ergebnisse zu erzielen. Der Zip-Vorschlag ergab keinen signifikanten Unterschied zu komprimierten Formaten wie JPG oder den neueren komprimierten Office-Dokumenten.

Ich wandte mich einer klobigen, aber wenig nützlichen Alternative zu: Vergleichen der Dateierweiterung mit den Ergebnissen einer "magischen" Prüfung.

Anstatt den Befehl file aus einem Bash-Skript zu verwenden, habe ich ein Python Skript für mehr Leistung) erstellt. (Hier ist der Code: https://github.com/Citon/strangethings/releases/ ) Die Ergebnisse waren ein guter Ausgangspunkt. Um Fehlalarme zu reduzieren, müssen Sie Ihre Datenbank für magische Dateien optimieren und mit Ausnahmen herumspielen.

Um ein von CryptoLocker aufgerufenes Verzeichnis auszuprobieren, laden Sie das StrangeThings-Paket herunter und installieren Sie es gemäß den Anweisungen README. Kopieren Sie anschließend "strangethings.conf-SAMPLE" in "strangething.conf". Führen Sie es aus wie so:

strangethings.py -c strangethings.conf -s cryptolocker DIRECTORYTOSCAN

YMMV. Getestet unter Linux (Debian und CentOS). In der Antwort von @ brad-churby finden Sie ein ähnliches Tool für Windows von OmniSpear.

2
Paul Doom

Wir haben ein kostenloses Scan-Tool erstellt, das feststellt, dass mit CryptoLocker verschlüsselte Dateien die Liste in eine CSV-Datei kopieren. Dies ist praktisch, wenn Sie herausfinden möchten, welche Dateien aus der Sicherung wiederhergestellt werden müssen.

http://omnispear.com/tools/cryptolocker-scan-tool

10
Brad Churby

CryptoUnlocker kann von Cryptolocker verschlüsselte Dateien erkennen (und entschlüsseln, wenn Sie den privaten Schlüssel haben). Der Abschnitt "CryptoLocker-verschlüsseltes Dateiformat" beschreibt das Format einer kryptolockierten Datei. Kurz gesagt, Sie können eine Datei wie folgt erkennen:

  1. Lesen Sie die ersten 20 Bytes der Datei (dies ist ein SHA1-Hash)
  2. Lesen Sie die nächsten 256 Bytes und stellen Sie dem Ergebnis vier Null-Bytes voran
  3. SHA1 das Ergebnis aus Schritt 2 und vergleiche es mit dem Ergebnis aus Schritt 1. Wenn sie gleich sind, ist diese Datei Cryptolocked.
6
Josh Townzen

Normale Dateien sollten nicht zufällig aussehen. Das heißt, sie enthalten Muster, die sie von zufälligem Rauschen unterscheiden, das in den meisten verschlüsselten Dateien zu finden ist.

Eine verschlüsselte Datei sollte beim Komprimieren nicht kleiner werden. Wenn eine Datei kleiner wird, können Sie ziemlich sicher sein, dass sie nicht verschlüsselt ist.

Natürlich geht es nicht umgekehrt und Sie müssen möglicherweise noch die Dateien überprüfen, die nicht kleiner werden, wenn Sie sie komprimieren.

0
Christian

Wir haben vor dem Angriff ein Backup-Image gemountet und WinMerge ausgeführt.

Tipps zur einfachen Wiederherstellung:

Setzen Sie unter Optionen die Vergleichsmethode auf "Schnellinhalt", [x] Stopp nach der ersten Differenz und 1 MB Schnellvergleichslimit.

Und da Cryptolocker das Änderungsdatum/die Änderungszeit nicht ändert, sortieren Sie nach geänderter Zeit und kopieren Sie nicht alle Dateien, die im Zeitstempelfeld mit einem * gekennzeichnet sind.

0
Dan Buhler

Als unser Unternehmen getroffen wurde, stellte ich fest, dass für jede Datei auf dem Server, die verschlüsselt wurde, auch das Eigentum der Benutzer geändert wurde, denen der infizierte PC gehörte. Zum größten Teil ging es darum, alle Laufwerke nach Dateien dieser Person zu durchsuchen, und es war klar, dass diese Dateien auch alle die gleichen Änderungsdaten hatten, wenn sie beschädigt waren. Ich habe ein Programm gefunden, mit dem Sie hier nach Eigentümer suchen können. www.grinadmin.com Es ist eine kostenlose eigenständige ausführbare Datei, die SEHR gut funktioniert hat und mit der Sie eine CSV-Datei für die Ergebnisse jedes Scans erstellen können. Das einzige Problem, das ich hatte, war auf Serverfreigaben, auf denen diese Person normalerweise viele eigene Dateien hatte. Das war hoffnungslos, da über 17.000 Dateien in Hunderten von Ordnern im Besitz von ihm waren. Ich werde den Krypto-Schließfach-Scan versuchen, der auch auf dieser Freigabe erwähnt wurde, und sehen. Ich bin so froh, dass wir in ein ausgeklügeltes Rückensystem investiert haben! Wütend! Interessant zu beachten: Die Infektion kam über eine E-Mail, die sich als eine E-Mail aus unserem Hauptquartier tarnte und eine digitale Voicemail anbot. Es war in einer WAV-Datei! Zwei der infizierten Dateien auf seinem Laptop waren RealPlayer-Dateien, was Sinn macht.

0
Steve Southard