Я знаю, что есть много компаний, которые говорят, что они могут помочь восстановиться после атаки программ-вымогателей или могут обнаружить и защитить.
Мне интересно, можем ли мы узнать, был ли файл атакован каким-либо открытым исходным кодом или инструментами?
Возможно, мы узнаем об этом по изменению расширения файла или по тому, что приложение не может открыть данные.
Есть ли другой способ узнать с помощью программного обеспечения, находится ли файл под атакой программы-вымогателя? Проверить заголовок? Проверьте, был ли он зашифрован AES или другим криптоалгоритмом?
Это зависит. Как и при любом современном шифровании, у вас есть три основных способа расшифровки чего-либо.
С программами-вымогателями нередко использовалась очень старая реализация, которая может иметь уязвимость и позволяет восстановить ключ дешифрования.
Не существует единого программного решения для чего-то подобного, во всяком случае, я о нем не знаю. Это сводится к обнаружению использования неисправного, а затем к написанию собственного инструмента на основе криптобиблиотеки.
Иногда происходит утечка главного ключа дешифрования, преднамеренная утечка или обнаружение методом грубой силы.
Для этого можно использовать Rainbow Crack и John the Ripper . Но вполне вероятно, что профессиональные фирмы используют для решения подобных проблем самодельные сценарии и программное обеспечение.
Некоторые программы-вымогатели также были известны тем, что шифровали только определенные части системы, такие как таблица разделов, что означает, что данные все еще были там, незашифрованными, но средний пользователь не знал, как их восстановить.
В таком случае Sleuthkit представляет собой очень полезный набор криминалистических инструментов, которые можно использовать для восстановления.
Что касается определения того, что файл зашифрован: большинство программ просто обнаружат его по заголовку. Современное шифрование в основном выглядит как случайные данные.