臭名昭著的cryptowall已加密了我的大量文件/文件夹。从备份还原了大部分文件后,现在我正在寻找一种方法来扫描散布在本地和网络驱动器上的其余加密文件。
有没有一种方法可以生成这些加密文件的列表?(通过扫描文件标题/或验证文件完整性)。是否可以在命令行中或使用特定软件?
干杯,弗洛里安
Windows注册表中的CryptoWall存储所有加密文件的列表。恢复后,某些文件可能已丢失,并且仍可能被加密。
查看“修改后的文件”属性会给出一列简短的文件,这些文件可能已经被加密并保持加密状态。使用Recuva(Windows恢复工具),我注意到加密的文件幻数是随机的,而对于普通文件,这些幻数(前四个字节)对于每种文件类型都是相同的。JPEG:FF D8 FF E0
编辑:我发现了这个方便的Unix命令,名为“文件”。它在Linux,Cygwin和OS X上可用。
使用快速脚本扫描系统中的每个文件,未知文件类型很可能就是剩余的加密文件。
将这些幻数与文件扩展名进行比较是可以脚本化的,并且应该可以确定加密/损坏的内容。但是我还没有找到一种能够执行此操作并将其与众所周知的幻数数据库(前四个字节)进行比较的工具。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句