La mayoría de los ransomware hace más o menos lo mismo en disco: enumerar archivos, leer cada uno, escribir una copia cifrada al lado, borrar el original. Cada uno de esos pasos aparece en el $MFT.
Los tres patrones reveladores
Cambios de extensión masivos. Aparece un archivo nuevo con el mismo directorio padre y el mismo nombre base que uno existente, pero con otra extensión. informe.docx se convierte en informe.docx.locked, informe.encrypted o informe.{guid}. Contar cuántos pares de este tipo aparecen en una ventana de tiempo corta es uno de los indicadores más limpios de ransomware en el $MFT.
Una ráfaga de timestamps SI creado agrupados en pocos segundos. La actividad normal de usuario crea archivos a cuentagotas, uno o dos a la vez. Un ransomware crea cientos o miles. Si trazas los SI creado como histograma, la ventana del ataque aparece como un pico vertical.
Originales borrados que casan con duplicados cifrados. Por cada informe.docx.locked suele haber un informe.docx cuyo flag «en uso» se ha apagado. El registro borrado permanece en el $MFT hasta ser reutilizado. Desde esos huecos puedes recuperar nombres, tamaños y timestamps de los originales.
Lo que el $MFT no te dice
El $MFT confirma el qué y el cuándo. No te dice qué proceso fue el que escribió. Para eso necesitas:
- Prefetch y ShimCache como evidencia de qué ejecutable corrió
$UsnJrnlpara ver el orden de las operaciones de creación, borrado y renombrado- forense de memoria si la máquina sigue viva y el proceso aún reside.
Pero el $MFT por sí solo suele responder a las preguntas más urgentes: cuándo empezó el ataque, cuánto se extendió y qué archivos fueron tocados.
Una nota sobre las notas de rescate
La mayoría de familias suelta una nota de rescate en cada directorio afectado, con nombres como HOW_TO_DECRYPT.txt o README_FOR_DECRYPT.html. Estas notas tienen contenido idéntico, tamaño idéntico y tiempos de creación muy agrupados. Recorrer el $MFT buscando muchos archivos de texto de tamaño idéntico repartidos por muchos directorios suele encontrarlas antes que cualquier filtro por nombre.