La maggior parte dei ransomware fa più o meno la stessa cosa su disco: enumerare i file, leggerli uno per uno, scrivere una copia cifrata accanto, eliminare l'originale. Ognuno di questi passaggi compare nel $MFT.
I tre schemi rivelatori
Cambi di estensione in massa. Un nuovo file appare con la stessa cartella padre e lo stesso nome base di un file esistente, ma con un'estensione diversa. report.docx diventa report.docx.locked, report.encrypted o report.{guid}. Contare quante coppie del genere appaiono in una finestra di tempo breve è uno degli indicatori più puliti di ransomware nel $MFT.
Una raffica di timestamp SI creazione raggruppati in pochi secondi. L'attività normale di un utente crea file con il contagocce, uno o due alla volta. Un ransomware ne crea centinaia o migliaia. Se tracci i SI creazione come istogramma, la finestra dell'attacco si vede come picco verticale.
Originali eliminati che combaciano con duplicati cifrati. Per ogni report.docx.locked di solito c'è un report.docx il cui flag «in uso» è stato azzerato. Il record eliminato resta nel $MFT finché non viene riusato. Da quegli slot puoi recuperare nomi, dimensioni e timestamp degli originali.
Cosa il $MFT non ti dice
Il $MFT conferma il cosa e il quando. Non ti dice quale processo abbia scritto. Per quello ti servono:
- Prefetch e ShimCache come prova di quale eseguibile sia stato lanciato
$UsnJrnlper l'ordine delle operazioni di creazione, eliminazione e ridenominazione- forensica della memoria, se la macchina è ancora viva e il processo è ancora residente.
Ma il $MFT da solo risponde spesso alle domande più urgenti: quando è iniziato l'attacco, quanto è esteso, quali file sono stati toccati.
Una nota sui file di richiesta di riscatto
La maggior parte delle famiglie lascia una nota di riscatto in ogni cartella colpita, con nomi tipo HOW_TO_DECRYPT.txt o README_FOR_DECRYPT.html. Queste note hanno contenuto identico, dimensione identica e tempi di creazione molto ravvicinati. Percorrere il $MFT cercando molti file di testo della stessa dimensione sparsi su molte cartelle li trova spesso prima di qualunque filtro sul nome.