Solo pregunto en caso de que alguien ya haya hecho el análisis. Un cliente tiene un gran conjunto de unidades de red que se asignaron a una máquina infectada por CryptoLocker. La infección en sí ha sido tratada. Estoy buscando una herramienta o simplemente un patrón binario que coincida para verificar que un archivo no esté cifrado en función de un encabezado / característica de identificación de algún tipo en el propio archivo.
Sí, sé que la lista de archivos cifrados está en el registro de la máquina infectada. Estamos buscando una verificación directa.
Para aclarar: sabemos qué extensiones podrían verse afectadas, solo busco una manera de verificar si un archivo específico está encriptado sin tener que hacer doble clic en él. Millones de archivos potencialmente afectados por lo que una prueba manual no es una opción. Hasta ahora mi reserva es buena "archivo", que me dará un OK confirmado, pero solo en algunos tipos de archivos.
Todavía no he encontrado ninguna concordancia entre los archivos cifrados de muestra, excepto "que parece aleatorio".