Escaneando archivos que CryptoLocker ha cifrado

10

Solo pregunto en caso de que alguien ya haya hecho el análisis. Un cliente tiene un gran conjunto de unidades de red que se asignaron a una máquina infectada por CryptoLocker. La infección en sí ha sido tratada. Estoy buscando una herramienta o simplemente un patrón binario que coincida para verificar que un archivo no esté cifrado en función de un encabezado / característica de identificación de algún tipo en el propio archivo.

Sí, sé que la lista de archivos cifrados está en el registro de la máquina infectada. Estamos buscando una verificación directa.

Para aclarar: sabemos qué extensiones podrían verse afectadas, solo busco una manera de verificar si un archivo específico está encriptado sin tener que hacer doble clic en él. Millones de archivos potencialmente afectados por lo que una prueba manual no es una opción. Hasta ahora mi reserva es buena "archivo", que me dará un OK confirmado, pero solo en algunos tipos de archivos.

Todavía no he encontrado ninguna concordancia entre los archivos cifrados de muestra, excepto "que parece aleatorio".

    
pregunta Paul Doom 24.10.2013 - 18:38
fuente

6 respuestas

2

No encontré ninguna característica única a la que recurrir que pudiera producir resultados altamente confiables. La sugerencia de zip no produjo una diferencia significativa con formatos comprimidos como JPG o los documentos de Office comprimidos más recientes.

Pasé a una alternativa torpe pero semi-útil: comparando la extensión del archivo con los resultados de una comprobación "mágica".

En lugar de utilizar el comando archivo de un script de bash, inventé un script de Python para obtener más poder. (Aquí está el código: enlace ) Los resultados fueron un buen punto de partida. Es necesario ajustar su base de datos de archivos mágicos y juguetear con excepciones para reducir los falsos positivos.

Para probarlo en un directorio de CryptoLocker, descargue el paquete StrangeThings e instálelo siguiendo las instrucciones de README. Luego, copie "strangethings.conf-SAMPLE" en "strangething.conf". Ejecútalo así:

strangethings.py -c strangethings.conf -s cryptolocker DIRECTORYTOSCAN

YMMV. Probado en Linux (Debian y CentOS). Consulte la respuesta en @ brad-churby para obtener una herramienta similar para Windows desde OmniSpear.

    
respondido por el Paul Doom 27.10.2013 - 08:01
fuente
10

Creamos una herramienta de análisis gratuita que encuentra que los archivos cifrados de CryptoLocker vuelcan la lista en un archivo CSV. Esto es útil cuando se trata de averiguar qué archivos deben restaurarse desde la copia de seguridad.

enlace

    
respondido por el Brad Churby 27.10.2013 - 01:45
fuente
6

CryptoUnlocker puede detectar (y descifrar, si tiene la clave privada) los archivos cifrados por Cryptolocker . La sección "Formato de archivo cifrado de CryptoLocker" describe el formato de un archivo criptográfico, pero en resumen, puede detectar uno haciendo lo siguiente:

  1. Lee los primeros 20 bytes del archivo (este es un hash SHA1)
  2. Lea los siguientes 256 bytes, y agregue cuatro bytes cero al resultado
  3. SHA1 el resultado del paso # 2 y lo compara con el resultado del paso # 1. Si son iguales, este archivo es Cryptolocked.
respondido por el Josh Townzen 03.06.2014 - 20:54
fuente
0

Se supone que los archivos normales no parecen aleatorios. Eso significa que contienen patrones que los distinguen del ruido aleatorio que se encuentra en la mayoría de los archivos cifrados.

Un archivo encriptado no debería reducirse cuando lo comprimimos. Si un archivo se hace más pequeño, puede estar bastante seguro de que no está cifrado.

Por supuesto, no es al revés y es posible que aún tengas que revisar los archivos que no se hacen más pequeños cuando los comprimes.

    
respondido por el Christian 25.10.2013 - 01:07
fuente
0

Lo que descubrí cuando nuestra empresa se vio afectada fue que cada archivo en el servidor que se cifró también cambió su propiedad a la de los usuarios que poseían la PC infectada. En su mayor parte, se trataba de buscar en todas las unidades los archivos de propiedad de esa persona y estaba claro que esos archivos también tenían las mismas fechas de cambio si estaban dañados. Encontré un programa que te permite buscar por propietario aquí. www.grinadmin.com Es un archivo ejecutable independiente que funcionó MUY bien y le permitió crear un archivo csv para los resultados de cada análisis. El único problema que tuve fue en los recursos compartidos del servidor donde esta persona normalmente tenía muchos de sus propios archivos. Eso no tenía remedio, ya que había más de 17,000 archivos mostrados de su propiedad en cientos de carpetas. Voy a probar el escaneo de crypto locker también mencionado en ese recurso compartido y veremos. ¡Estoy tan contento de haber invertido en un sofisticado sistema de respaldo! ¡Uf! Un dato interesante a tener en cuenta: la infección llegó a través de un correo electrónico enmascarado como uno de nuestra sede que ofrece un correo de voz digital. Estaba en un archivo wav! Dos de los archivos infectados en su computadora portátil eran archivos de RealPlayer, así que tiene sentido.

    
respondido por el Steve Southard 15.11.2013 - 19:12
fuente
0

Montamos una imagen de copia de seguridad antes del ataque y ejecutamos WinMerge.

Consejos para que sea muy fácil de restaurar:

En las opciones, configure el método de comparación en "Contenido rápido", [x] Detener después de la primera diferencia y 1mb de límite de comparación rápida.

Y luego, debido a que Cryptolocker no cambia la fecha / hora de modificación, ordene por hora modificada y no copie todos los archivos marcados con un * en el campo de marca de hora.

    
respondido por el Dan Buhler 12.05.2014 - 19:57
fuente

Lea otras preguntas en las etiquetas