基于Linux的ransomware加密文件检测器

Question

今天我在工作中出了一次不愉快的事故，其中一个用户在他们的Windows电脑上下载了被八个赎金感染的东西。最糟糕的是，它加密了安装在(Linux)文件服务器上的驱动器上的一些文件。

当然，我从备份中恢复了这些文件，但我还是希望有一些东西可以检测到被ransomware加密的文件(而不是ransomware本身)。

有什么软件可以用来扫描Linux上的文件吗？

Answer 1

您可以编写一个脚本，它在系统中的所有文件上运行file --mime-type -b filenamegoeshere，如果它对一个文件发生了更改，那么您可以立即怀疑加密。

我相信您需要告诉file命令不要使用文件扩展名作为考虑的一部分。如果没有简单的方法，您可以让它将每个文件临时复制到一个基于RAM的驱动器(或常规硬盘驱动器，但要小心SSD耐力)，然后删除文件扩展名，然后在那里运行它。

另一种仅适用于已未压缩和未加密的文件的方法是拥有一个脚本，该脚本扫描系统并记录每个文件的熵，如果每个文件的熵增加超过一定数量，则发出警报。您可以这样做的一种方法是尝试压缩每个文件，并查看大小下降到多少(将gzip的输出发送到stdout，并将其输送到wc)。