La plupart des ransomwares font à peu près la même chose sur disque : énumérer les fichiers, lire chacun, écrire une copie chiffrée à côté, supprimer l'original. Chacune de ces étapes apparaît dans le $MFT.
Les trois schémas révélateurs
Des changements d'extensions en masse. Un nouveau fichier apparaît avec le même dossier parent et le même nom de base qu'un fichier existant, mais avec une extension différente. rapport.docx devient rapport.docx.locked ou rapport.encrypted ou rapport.{guid}. Compter le nombre de paires de ce type qui apparaissent dans une courte fenêtre temporelle est l'un des indicateurs les plus nets dans le $MFT.
Une rafale d'horodatages SI création regroupés en quelques secondes. L'activité utilisateur normale crée des fichiers par à-coups d'un ou deux à la fois. Un ransomware en crée des centaines, voire des milliers. Si vous tracez les SI création en histogramme, la fenêtre d'attaque ressort en pic vertical.
Des originaux supprimés correspondant aux doublons chiffrés. Pour chaque rapport.docx.locked, il y a généralement un rapport.docx dont le drapeau « en cours d'utilisation » a été effacé. L'enregistrement supprimé reste dans le $MFT jusqu'à être réutilisé. On peut donc retrouver les noms, tailles et horodatages des originaux à partir de ces emplacements.
Ce que le $MFT ne vous dit pas
Le $MFT confirme le quoi et le quand. Il ne dit pas quel processus a écrit. Pour cela, il faut :
- Prefetch et ShimCache pour la preuve d'exécution d'un binaire
$UsnJrnlpour l'ordre des opérations de création, suppression, renommage- de la mémoire forensique si la machine est encore en vie et que le processus est encore résident
Mais le $MFT à lui seul répond souvent aux questions les plus urgentes : quand l'attaque a-t-elle commencé, jusqu'où s'est-elle étendue, et quels fichiers ont été touchés.
À propos des notes de rançon
La plupart des familles déposent une note de rançon dans chaque dossier touché, portant un nom comme HOW_TO_DECRYPT.txt ou README_FOR_DECRYPT.html. Ces notes ont un contenu identique, une taille identique et des heures de création très rapprochées. Parcourir le $MFT pour repérer de nombreux fichiers texte de taille identique dispersés sur de nombreux dossiers les retrouve souvent avant le moindre filtre sur le nom.