これはランサムウェアの暗号化ですか、それともファイルの破損ですか?
今整理しようとしている古いドライブからのユーザーフォルダーのバックアップがあり、ファイルが破損しているか暗号化されていることに気付きました。
ファイル拡張子と名前は変更されず、exeファイルが影響を受けるようです。さらに分析したところ、いくつかの優れたファイルが見つかりました。読み取り可能なファイルは約655バイト未満であり、おそらく体系的なif less than XXX then encrypt一種のロジック。しかし、私はまた、651のファイルが読み取り不可能であり、655の別のファイルが読み取り可能であることを発見しました。650バイト未満は確実に読み取り可能であり、1kbより上は読み取り不可能です。
今、いくつかの読みやすい大きなファイルがあるかもしれませんが、これを行うためのWindowsユーティリティの提案をまだ見つけていませんか?
766バイトの読み取り不可能なreadme.txtファイルの例:
RÐÜ`„ÜAŒŠz>‹ú ©<ìyF’”Îã¸b{¿>Q(9 <UЈÔIMút€*GŽ#'nÚÁ°…‹Œ#2ª0SŠ`2Aàè€aÕ›’jÚm5ñ®‰¡2æimºÈóÇæ{ž+݇û'åûÛs’ؘÒý};rÎÙœÈÐÓK;=œ¼œ¬û#W&Ì9»nI›˜´
²y…ë$c×wT<¼ò}Sð¨æfté¤:eÖ+;’®iƒŒ‘ØmÄ<XôÝçRg&y4é^~9®]¢ÓC _@jyäLj¸«`dŽ<ŽK2T®f°>!@°Çødâ!YnmîÞÜ=ˆp°f|×V?œÍwöáÍèÃ[W£OòJl<‰Q‡,ùü*sõúÎt¹ @ë¯öyþ1G>zkJkŸX`Ï4Ë r @‰ŒJ¯³;ü¹ï«19QñW•[×ÞBG_fl›¤lP`ؑ1∌# àžˆû°9[xø•Ÿ}.y«A2ÖäkˆsÌ÷'op3|ËÕøëT
ª°^Òé÷ÄÉñ3@ˆÀC%Íõj„£”¾ŠãíïsVõ J:ÂrËá}Æw¾Ã&Eß9´Þ=y%¹
ù6 C¾MœlIöy€@kzQûˆK”158êòü¿p¿õ3aò·ý‹p²PÁ€`”—s
.‚.ÉAô³ã´# ˜q
“ÂÂêËœ—4‡è'Š@Șw à¬Lyqo.ùƒ3Qž—çoœ¬<øÄÚÃ9äҮƽ†¦¬oVA h 9ÛVÝiÛ{%þ8›òNé’÷R7{8ñwŽ+Ç<GÏËr>Þul”,´YŸ<«îÈ™ø¬»z»~ö€ª`ÒŸ¯qoàÌHà–çD̾™NTJÜ_Áå1ävwò~·3ilàB™û"]o'z7Xò]]Wr%8r§·ñps¡$Ëhq'¸sÏc1ÖY'W6t¿:
RansomNoteCleanerはCryLockerをレポートしますが、タグが付けられたファイルはHTMLタイプであり、開かれた場合はすべて破損しています。
次にCryptoSerachでCryLocker暗号化ファイルをスキャンすると、0件の結果が見つかります。
また、本当に難しいと思うと、ランサムウェアポップアップの数年前のエピソードを漠然と思い出しているように見えますが、ファイルが破損していることに気付くでしょう。
これは10年以上前の本当にノスタルジックなものであり、ランサムウェアであることを願っています。
そして、はい、これは私が現在、バックアップをクラウドでバックアップするためのプロセスを練っているという失礼な目覚めでした。
更新:
これはランサムウェア攻撃であるように見えますが、どの攻撃かはまだわかりません。驚いたことに、影響を受けたすべてのファイルの適切なコピーがありました。レッスンはここにあり、バックアップのバックアップがあります!
シャノンエントロピースコア7.9は非常に高くなっています(スケールは1〜8です)。
これがランサムウェアによるファイルの暗号化の結果であるとははっきり言えませんが、これをCryLockerと特定する以前の肯定的な結果を考慮すると、おそらくそうです。
私は「 復号化機能のリスト 」への移動を調べましたが、CryLockerに特に言及しているものは見つかりませんでした。 CryLockerの識別がかなり正確でなかった可能性があり、それらの復号化機能の1つが依然として役立つ可能性があります。