Die meisten Ransomware-Familien tun auf der Platte ungefähr dasselbe: Dateien aufzählen, jede einzelne lesen, eine verschlüsselte Kopie daneben schreiben, das Original löschen. Jeder dieser Schritte taucht in der $MFT auf.
Die drei verräterischen Muster
Endungsänderungen en masse. Eine neue Datei erscheint mit demselben Elternverzeichnis und Grundnamen wie eine bestehende Datei, aber mit anderer Endung. bericht.docx wird zu bericht.docx.locked, bericht.encrypted oder bericht.{guid}. Zu zählen, wie viele solche Paare in einem kurzen Zeitfenster auftauchen, gehört zu den klarsten Ransomware-Indikatoren in der $MFT.
Ein Burst von SI-erstellt-Zeitstempeln innerhalb weniger Sekunden. Normale Benutzeraktivität erzeugt Dateien tröpfchenweise, eine oder zwei auf einmal. Ransomware erzeugt Hunderte oder Tausende. Trägt man SI-erstellt-Zeitstempel als Histogramm auf, zeichnet sich das Angriffsfenster als senkrechte Spitze ab.
Gelöschte Originale, die zu verschlüsselten Duplikaten passen. Zu jedem bericht.docx.locked gibt es typischerweise ein passendes bericht.docx, dessen In-Use-Flag jetzt zurückgesetzt ist. Der gelöschte Eintrag bleibt in der $MFT, bis er wiederverwendet wird. Aus diesen Slots lassen sich Namen, Größen und Zeitstempel der Originale wiedergewinnen.
Was die $MFT dir nicht sagt
Die $MFT bestätigt was und wann. Sie sagt dir nicht, welcher Prozess geschrieben hat. Dafür brauchst du:
- Prefetch und ShimCache als Beweis dafür, welche ausführbare Datei lief
$UsnJrnlfür die Reihenfolge der Create-/Delete-/Rename-Operationen- Memory Forensics, wenn die Maschine noch lebt und der Prozess noch resident ist
Doch die $MFT allein beantwortet oft die dringendsten Fragen: Wann begann der Angriff, wie weit verbreitet ist er, welche Dateien wurden berührt.
Eine Anmerkung zu Ransom-Note-Dateien
Die meisten Familien legen in jedem betroffenen Verzeichnis eine Erpresser-Notiz mit Namen wie HOW_TO_DECRYPT.txt oder README_FOR_DECRYPT.html ab. Diese Notizen haben identischen Inhalt, identische Größe und eng beieinanderliegende Erstellungszeiten. Die $MFT nach vielen Textdateien gleicher Größe in vielen Verzeichnissen zu durchsuchen findet sie oft schneller als jedes Namensmuster.