臭名昭著的密码墙加密了我的大量文件/文件夹。虽然我已经从备份中恢复了大部分文件,但我现在正在寻找一种方法来扫描分散在我的本地和网络驱动器中的剩余加密文件。
有没有办法生成这些加密文件的列表?(通过扫描文件头/或验证文件完整性)。是否可以在命令行或特定软件中使用?
干杯,弗洛里安
问问题
1950 次
2 回答
0
CryptoWall 将所有加密文件的列表存储在 Windows 注册表中。恢复后,某些文件可能已丢失,并且仍可能被加密。
查看修改后的文件属性会给出可能已加密并保持加密的文件的简短列表。使用 Recuva(Windows 恢复工具),我注意到加密文件的幻数是随机的,而对于普通文件,这些幻数(前四个字节)对于每个文件类型都是相同的。JPEG:FF D8 FF E0
编辑:我发现了这个名为“file”的方便的 unix命令。它在 Linux、Cygwin 和 OS X 上可用。
使用快速脚本扫描系统中的每个文件,未知文件类型很可能是剩余的加密文件。
将这些幻数与文件扩展名进行比较是可编写脚本的,应该可以确定哪些内容被加密/损坏。然而,我还没有找到能够执行此操作并与众所周知的幻数数据库(前四个字节)进行比较的工具。
于 2014-08-26T00:48:08.537 回答
0
您可以尝试生成加密文件列表
http://www.bleepingcomputer.com/download/listcwall/
尝试使用此链接解密文件 - 总比没有好
原始帖子取自 http://www.bleepingcomputer.com/virus-removal/cryptowall-ransomware-information
于 2015-07-24T03:45:19.690 回答