طريقة سريعة لتحديد ملفات كريبتولوكر المُشفِّرة

إذا كان CryptoLocker يعلم إدارة تكنولوجيا المعلومات لدى الشركات ورجال الأمن أي شيء، فهو أن النسخ الاحتياطي هو شيء بغاية الأهمية.

البرمجيات الخبيثة لانتزاع الفدية؛ ستجد وثائق وتقوم بتشفيرها على محركات الأقراص المحلية والمشتركة، ولن تعيدها مرة أخرى. لا ينصح الخبراء أن يقوم الضحايا بدفع الفدية، وهو ما يعني أن أجهزة الكمبيوتر المصابة سيتم محوها، وأن الملفات المفقودة يجب استردادها من النَسخ الاحتياطي.

مع ذلك، فإن أحد المتخصصين في التناظر وأحد محللي البرمجيات الخبيثة في بوسطن، والذي يعمل لصالح شركة كبيرة، ربما قد وجد دليلاً لتحديد الملفات التي يقوم CryptoLocker بتشفيرها، وهو ما قد يعني الفرق بين استعادة تيرابيتات من البيانات الاحتياطية في مقابل بضعة جيجا بايتات.

الإصابة في هذه الشركة تحديدًا حدثت في تشرين الأول/ أكتوبر. وقع أحد المستخدمين ضحية لأحد رسائل البريد الإلكتروني للتصيُّد الاحتيالي، وتبعها رابط لموقع حيث ينتظر CryptoLocker. تم الكشف عن البرمجيات الخبيثة في غضون بضع ساعات من قِبَل برنامج مكافحة الفيروسات الخاص بالشركة، ولكن ليس قبل قيامها بتشفير آلافٍ من الملفات على محرك الأقراص المحلي، ومحركات الأقراص المعينة لجهاز الكمبيوتر المحمول الخاص بالمستخدم، وقُدمت الرسالة للمستخدم بالصورة النقطية المألوفة في هذا الوقت، تشرح طلب المهاجم للحصول على الفدية.

تم سحب جهاز الكمبيوتر المحمول من الشبكة، ومحوه وتحليله. ذلك عندما قام المحلل الذي مر بمقبض تويتر @Bug_Bear وطلب عدم الكشف عن هويته، وخلاف ذلك، بملاحظة أن جدول الملفات الرئيسي المُنشأ بنظام الملفات NTFS وتواريخ التعديل على الملفات المشفرة كانت لم تتغير. قام بعد ذلك بمقارنة تلك النتائج بجدول الملف الرئيسي من خادم ملفات ويندوز أيضًا، باستخدام زوج من الأدوات هما analyzeMFT و MFTParser، ليختبر ما يقرب من 10 جيجا بايت من بيانات جدول الملف الرئيسي.

كتب على مدونته الخاصة بأمن نقل كميات كبيرة من المعلومات: “في تحديد بعض الملفات المشفرة المعروفة بواسطة اسم الملف FN$، أشرت إلى أن التاريخ الوحيد في سجل الملفات التي تم التمكن من نقلها، والذي تزامن مع الإصابة، كان تاريخ إدخال MFT أو التاريخ الذي تم فيه تعديل سجل MFT نفسه. وأضاف: “باستخدام هذا، قمت بتصفية جميع السجلات التي كان لها طوابع زمنية FN$ أو SI$ سبقت ذلك”.

من خلال هذه الطريقة، تمكنت من تحديد أكثر من 4000 ملف تم تشفيرها من قِبَل CryptoLocker، واستعادة تلك الملفات من النَسخ الاحتياطي.

وقد أخبر Threatpost أنه يعتقد أن البرمجيات الخبيثة تستخدم تقنية تُدعى توصيل الملفات عبر الأنفاق لتفادي الكشف، وهذا ما أدى به إلى العثور على الملفات المشفرة.

وقال: “في نظام الملفات NTFS، إذا قمت بحذف ملف وقمت بعد ذلك بإعادة إنشائه بنفس الاسم في نفس المجلد خلال 15 ثانية، فإنه يأخذ نفس سمات الملفات الأصلية؛ جميع تواريخ الملف سوف تتطابق”، وأضاف: ” أعتقد أن هذا ما نراه. التاريخ الوحيد الذي لن يتغير هو تاريخ جدول الملف الأصلي، الذي هو تاريخ إنشاؤه في قاعدة البيانات لنظام الملفات NTFS نفسه”.

على عكس البرمجيات الخبيثة الأخرى لانتزاع الفدية، فإن CryptoLocker يقوم بتشفير الملفات، ويقوم بعد ذلك بطلب فدية للحصول على مفتاح فك التشفير. إنه ينتشر في المقام الأول من خلال حملات التصيُّد الاحتيالي، عن طريق إخطارات التتبع التي تنطق بلسان فيدرال إكسبرس، أو يو بي إس. يتم إخبار الضحايا أنه يجب عليهم الدفع عن طريق MoneyPak، أو العُملة الإلكترونية Bitcoin قبل مهلة سداد مدتها 72 ساعة، أو سيتم فقدان الملفات للأبد.

Bug_Bear يُدعى الهجوم المباشر، بكفاءة وفعالية. قال أيضًا أن النسخ الاحتياطي هو أفضل دفاع للشركة، إلى جانب خطة قوية للاستجابة للأحداث.

وقال: “الطريقة الوحيدة التي أعرفها للعثور على هذه الملفات هي الطريقة التي استخدمتها”، وأضاف: “أنا ممتن لأشخاصٍ آخرين يقومون بكتابة هذه الأدوات، لأني إن لم أكن قد حصلت على هذه الأدوات، فإن [تحليل] 10 جيجا بايت من البيانات الست عشرية كان ليصبح أمرًا روتينيًّا شاقًا.