Как найти скрытые каталоги с ключами шифровальщиков: практическое руководство

Автор На чтение 7 мин Просмотров 1 Опубликовано

Когда вы столкнулись с атакой шифровальщика, каждый час на счету. Один из самых перспективных направлений для восстановления доступа к данным — найти каталоги, куда злоумышленник сохранил ключи шифрования. Это не гарантия успеха, но реальный шанс, если знать, где и как искать. Разберём конкретно, что делать.

Содержание
  1. Почему шифровальщики вообще хранят ключи на диске
  2. Где обычно прячутся ключи: типичные места
  3. Пошаговый алгоритм поиска
  4. Инструменты, которые реально помогают
  5. Как выглядит каталог с ключами: на что обращать внимание
  6. Сценарии в зависимости от вашей ситуации
  7. Ситуация 1: Машина ещё работает, шифрование идёт
  8. Ситуация 2: Машина выключена, есть копия диска
  9. Ситуация 3: Доменная инфекция, заражено несколько машин
  10. Ситуация 4: Есть подозрение на конкретный шифровальщик
  11. Частые ошибки при поиске
  12. Что делать, если каталог с ключами найден
  13. Если ключи не найдены
  14. Итог: что запомнить

Почему шифровальщики вообще хранят ключи на диске

Большинство современных шифровальщиков используют гибридную схему: файлы шифруются симметричным алгоритмом (AES, ChaCha20), а сам симметричный ключ зашифрован асимметричным (RSA, ECC). Закрытый ключ для расшифровки каким-то образом должен существовать в системе — либо в памяти, либо на диске, либо на сервере злоумышленника.

В реальности многие реализации оставляют следы: временные файлы с ключами, кэш, конфигурационные файлы, логи. Некоторые шифровальщики по ошибке разработчиков сохраняют промежуточные данные в каталогах, которые не удаляются автоматически. Именно эти артефакты мы и ищем.

Где обычно прячутся ключи: типичные места

За годы практики анализа инцидентов набор «подозрительных» каталогов стал вполне предсказуемым. Вот где стоит смотреть в первую очередь:

  • /tmp, /var/tmp, %TEMP% — временные каталоги, куда многие программы сбрасывают промежуточные данные. Шифровальщики часто пишут туда ключи перед отправкой на C2-сервер.
  • Скрытые каталоги в домашних директориях — .config, .local, .cache, .ssh. Точка в начале имени делает их невидимыми при стандартном просмотре.
  • /var/appdata, /opt, /usr/local/ — нестандартные места установки ПО, куда ключи могут попасть при работе легитимных утилит.
  • Сетевые шары и подмонтированные тома — ключи иногда оседают на файловых серверах, если шифровальник работал с сетевыми ресурсами.
  • Корзиина и каталоги загрузок — звучит банально, но злоумышленники нередко сохраняют мастер-ключ именно там, рассчитывая, что его не заметят среди мусора.

Пошаговый алгоритм поиска

Действуем методично. Порядок важен — от быстрых проверок к глубокому анализу.

  1. Запишите дамп оперативной памяти (если машина ещё работает). В RAM ключи часто лежат в открытом виде. Используйте winpmem, LiME или аналоги. Это приоритет номер один — при перезагрузке ключ исчезнет из памяти навсегда.
  2. Сделайте побитовую копию диска (dd, FTK Imager). Не работайте с оригиналом. Всё дальнейшее — только с копией.
  3. Просмотрите список всех каталогов, включая скрытые. В Linux: find / -type d -name ".*" 2>/dev/null. В Windows: dir /s /a:h или PowerShell-скрипты.
  4. Отфильтруйте по времени модификации. Нас интересуют каталоги, созданные или изменённые в окне атаки. В Linux: find / -type d -newermt "2024-01-01" ! -newermt "2024-01-05".
  5. Ищите файлы с характерными расширениями: .key, .pem, .pfx, .dat, .bin, .enc, .config, .json в необычных местах.
  6. Проверьте альтернативные потоки данных (ADS) в NTFS. Злоумышленники прячут ключи в дополнительных потоках файлов: dir /r или streams от Sysinternals.
  7. Проанализируйте автозагрузку и запланированные задачи — там могут быть пути к скриптам, которые подтягивают ключи из неочевидных мест.
  8. Проверьте логи аудита (Event Log Windows, auditd на Linux) — записи о создании файлов и каталогов в нестандартных путях.

Инструменты, которые реально помогают

Вот набор, который я использую на практике и который не вызывает сомнений в результатах:

Инструмент Что делает Когда применять
Volatility Анализ дампа оперативной памяти При работающей машине или наличии RAM-дампа
Autopsy / Sleuth Kit Анализ файловой системы, поиск по сигнатурам При работе с копией диска
YARA Поиск паттернов и сигнатур в файлах Для массового сканирования каталогов на известные структуры ключей
Strings + grep Быстрый поиск текстовых и бинарных паттернов Когда нужно быстро просеять тысячи файлов
Plaso / log2timeline Построение временной шкалы событий Для определения точного момента создания каталога
Bulk Extractor Извлечение email, URL, бинарных данных Для быстрого обследования без монтирования ФС

Как выглядит каталог с ключами: на что обращать внимание

Не каждый скрытый каталог — это ключи. Вот признаки, которые должны насторожить:

  • Каталог содержит файлы размером от 16 до 4096 байт — типичный размер криптографических ключей.
  • Внутри есть файлы без расширений или с нестандартными расширениями.
  • Имена файлов — наборы hex-строк (например, a3f8c2d91b04e7...).
  • Каталог расположен в неочевидном месте: внутри системной директории, но не принадлежит известному ПО.
  • Время создания каталога совпадает с временем начала шифрования файлов.
  • Права доступа к каталогу ограничены — доступ только для определённого пользователя или SYSTEM.

Сценарии в зависимости от вашей ситуации

Ситуация 1: Машина ещё работает, шифрование идёт

Приоритет — дамп памяти. Не выключайте компьютер, не перезагружайте. Подключайте сборщик памяти с флешки. В оперативной памяти с высокой вероятностью лежит симметричный ключ в открытом виде. Параллельно запустите мониторинг файловой системы (Sysmon, fsnotify) и фиксируйте все создаваемые каталоги.

Ситуация 2: Машина выключена, есть копия диска

Работайте только с копией. Постройте временную шкалу, найдите окно атаки, затем ищите каталоги, созданные в этот период. Проверьте скрытые разделы диска и неиспользуемое пространство — ключи могут быть в слак-пространстве.

Ситуация 3: Доменная инфекция, заражено несколько машин

Начните с контроллера домена — ищите групповые политики и скрипты развёртывания. Часто мастер-ключ распространяется через GPO и сохраняется в SYSVOL или аналогичных каталогах. Проверьте все машины одновременно — сравните наборы скрытых каталогов, совпадения укажут на инфраструктуру злоумышленника.

Ситуация 4: Есть подозрение на конкретный шифровальщик

Проверьте базы данных ID Ransomware, No More Ransom, BleepingComputer. Для многих семейств уже известны конкретные пути хранения ключей. Например, некоторые варианты WannaCry сохраняли приватный ключ в исполняемом файле в каталоге %ProgramData% с маскировочным именем.

Частые ошибки при поиске

Ошибка 1: Работа с оригинальным диском без копии. Любое действие затирает следи. Восстановление ключа требует неизменённой среды.

Ошибка 2: Поиск только по расширениям .key и .pem. Ключи могут не иметь расширения или быть встроены в конфиги, дампы памяти, логи.

Ошибка 3: Игнорирование альтернативных потоков данных. NTFS позволяет спрятать данные внутри другого файла — стандартный просмотр этого не покажет.

Ошибка 4: Перезагрузка до снятия дампа памяти. Ключи в RAM живут до выключения. После перезагрузки шанс найти их стремится к нулю.

Ошибка 5: Очистка «лишних» каталогов до анализа. То, что кажется мусором, может оказаться единственной копией ключа.

Что делать, если каталог с ключами найден

  1. Немедленно изолируйте находку — скопируйте в защищённое хранилище, не изменяйте оригинал.
  2. Проверьте, действительно ли это ключ — попробуйте расшифровать тестовый файл. Используйте утилиты вроде OpenSSL или специализированные инструменты дешифровки.
  3. Не удаляйте найденные файлы до полного восстановления всех данных.
  4. Сообщите в профильные организации — CERT, правоохранительные органы. Найденный ключ может помочь другим жертвам.

Если ключи не найдены

Это частая ситуация. Не отчаивайтесь — у вас всё ещё есть варианты:

  • Проверьте наличие бекапов, в том числе облачных и теневых копий (VSS).
  • Изучите известные инструменты дешифровки для конкретного семейства — на сайте nomoreransom.org их десятки.
  • Обратитесь к специалистам по цифровой криминалистике — у них есть доступ к закрытым базам ключей и методам анализа, недоступным в открытых источниках.
  • Проверьте, не сохранились ли незашифрованные версии файлов в кэше приложений, временных копиях или предыдущих версиях.

Итог: что запомнить

Поиск скрытых каталогов с ключами — это не магия, а методичная работа. Главное:

  • Сначала память, потом диск. Порядок критичен.
  • Только копии, никогда оригинал.
  • Скрытые каталоги — не только с точкой в начале имени, но и в ADS, слак-пространстве, альтернативных разделах.
  • Временная шкала — ваш лучший союзник для сужения области поиска.
  • Если нашли подозрительный каталог — не трогайте его, сначала зафиксируйте и изолируйте.

Практический совет: если вы не уверены в своих действиях — остановитесь и вызовите специалиста. Каждое неосторожное действие может уничтожить единственный шанс на восстановление данных. Но если действовать по алгоритму выше, вероятность найти ключи и вернуть данные вполне реальна.

Оцените статью
PEFile — Безопасность и технологии простым языком
© 2026 PEFile — Безопасность и технологии простым языком