Как найти то, что не должно быть найдено: Руководство по поиску скрытых каталогов шифровальщиков

Как найти то, что не должно быть найдено: Руководство по поиску скрытых каталогов шифровальщиков

Когда к вам в руки попадает зараженная система или вы проводите расследование после инцидента с ransomware, первое, на что все обращают внимание — это файлы с расширением вроде .locked, .crysis или заметка с требованиями выкупа. Это крик о помощи системы. Но настоящая проблема — это ключи шифрования. Если вы их не найдете, восстановление данных будет зависеть от воли злоумышленника или работы наносящих вред решений.

Современные шифровальщики стали хитрее. Они больше не просто падают в папку «Документы» и начинают творить хаос. Они прячутся, используют легитимные системные утилиты и, самое главное, прячут сгенерированные ключи в неожиданных местах. Цель этой статьи — не теоретизировать о работе вирусов, а дать вам конкретный алгоритм поиска этих самых «скрытых каталогов» и файлов конфигурации, которые содержат ключи дешифровки.

Мы поговорим о том, где именно хакеры традиционно прячут свои ключи, как искать то, что скрывается от глаз, и как отличить мусор от критически важного артефакта.

Почему поиск каталогов важнее поиска самого вируса

Многие администраторы тратят часы на поиск исполняемого файла (.exe, .js, .vbs), который запустил процесс шифрования. Это полезно для понимания вектора атаки, но часто бесполезно для спасения данных. Вирус-шифровальщик — это обычно одноразовый инструмент. Он запускается, шифрует файлы, пишет конфигурацию и часто сам удаляется или перезаписывается.

Ключ же — это «золотой ключик». Если вы найдете файл с расширением .key, .cfg, .conf или .dat, который был создан или изменен в момент инцидента, вы можете найти его на публичных базах (например, NoMoreRansom или специализированных форумах). Многие старые версии шифровальщиков используют статические ключи, которые уже взломаны сообществом безопасности. Ищите именно эти файлы хранения ключей.

Шифровальщики не могут хранить ключи в открытом виде в памяти компьютера вечно. Им нужно место, чтобы записать его перед удалением или чтобы программа могла прочитать его при повторном запуске. И вот здесь создатели вирусов используют несколько проверенных схем.

Топ-5 мест, где прячут ключи

Злоумышленники не выдумывают ничего нового. Они используют стандартные механизмы Windows, которые не вызывают подозрений у новичков, но являются «горячими точками» для аналитика.

1. Временные папки (Temp и Prefetch)

Это классика. Шифровальщик часто распаковывает свои ресурсы во временную папку, чтобы не загромождать корень диска. Если вы нашли исполняемый файл в %TEMP%, проверьте соседние файлы. Часто рядом лежит файл конфигурации.

Путь обычно выглядит так:

• C:\Users\[ИмяПользователя]\AppData\Local\Temp\
• C:\Users\[ИмяПользователя]\AppData\Local\Temp\{случайная_папка_}

Обратите внимание на папки, названия которых представляют собой набор случайных символов или GUID. Это часто признак того, что программа создала их «на лету». Внутри ищите файлы с расширениями, не типичными для системы.

2. Пользовательские директории (Roaming и Local)

Куда проще спрятать файл в папке, куда каждому пользователю даются права на запись? В AppData\Roaming. Злоумышленники часто создают здесь скрытую папку с названием, похожим на системное (например, WindowsCache, ServiceData, MicrosoftUpdate), но с опечаткой или странной структурой.

Важный нюанс: многие шифровальщики создают в корне диска C: или на пользовательском диске папку с именем, похожим на системную службу, но с лишней буквой или в странных скобках. Ищите папки, созданные в последние 24-48 часов.

3. Реестр и скрытые ветки

Иногда «каталог» — это метафора. Ключ может быть записан прямо в реестр Windows. Это делается для того, чтобы при перезагрузке система могла сразу найти ключ или чтобы скрыть его от файлового браузера.

Проверьте следующие ветки:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ — здесь часто лежат пути к конфигурационным файлам.
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
• Ветви с названиями случайных серийных номеров или похожие на названия легитимных служб.

Если вы видите в Run путь к .vbs или .js файлу, а рядом на диске есть файл с расширением .cfg, который указан в команде запуска — это ваш главный подозреваемый.

4. Скрытые системные разделы и загрузочные записи

Это более продвинутый уровень. Некоторые шифровальщики (например, Locky или Petya в ранних версиях) могли записывать информацию в загрузочный сектор или создавать скрытые разделы. В современных условиях это встречается реже, но искать стоит. Проверьте скрытые папки в корне диска, особенно те, чей атрибут «Скрытый» установлен вручную.

5. Местоположение в памяти (Process Memory)

Хотя это не «каталог» в привычном смысле, иногда ключ лежит в памяти процесса. Если вы подключаете отладчик к запущенному процессу шифровальщика (что рискованно и требует навыков), вы можете выгрузить дамп памяти и найти строки, похожие на ключи (набор символов, Base64, hex). Но для большинства случаев достаточно найти сам исполняемый файл, который остался на диске.

Как искать: Практический алгоритм

Не пытайтесь искать глазами. Это неэффективно. Используйте командную строку (PowerShell или CMD) или специализированные утилиты поиска (например, Everything, если система еще жива).

Вот пошаговый план действий, который можно применить сразу после обнаружения угрозы:

1. Остановите процессы. Не перезагружайте компьютер, если есть подозрение на шифрование. Перезагрузка может уничтожить ключи в оперативной памяти или запустить скрипт саморазрушения. Если процесс уже остановлен, переходите к поиску.
2. Ищите по дате создания/изменения. Все файлы, созданные или измененные в момент атаки (обычно это последние 1-2 часа или сутки), — это ваши цели. Используйте фильтр по дате.
3. Сканируйте по расширениям. Ищите файлы с расширениями: .key, .cfg, .conf, .dat, .xml, .txt (если они не содержат текста выкупа, а содержат «мусор»). Также ищите файлы без расширения, которые находятся рядом с зашифрованными файлами.
4. Проверяйте скрытые атрибуты. Включите отображение скрытых файлов в проводнике. Если вы видите папку .shadow или что-то подобное, откройте её.
5. Анализируйте содержимое. Откройте подозрительный файл в блокноте. Если вы видите там случайный набор символов (например, 3f4a9b...), это может быть ключ. Если видите строку private key или public key — вы на верном пути.

Сравнение методов поиска: Что лучше сработает?

Разные инструменты дают разную глубину поиска. Вот таблица, которая поможет выбрать подход в зависимости от вашей ситуации.

Частые ошибки при поиске

Даже опытные специалисты иногда совершают ошибки, которые заставляют их упускать ключи. Вот чего стоит избегать:

Ошибка 1: Поиск только по расширению .exe.
Вы смотрите на процесс и думаете: «Вот он, вирус». Но часто шифровальщик — это скрипт, который запускается через PowerShell или WMI. Исполняемый файл может быть просто «загрузчиком», а сам вирус живет в памяти или в .vbs-файле. Ищите файлы с расширениями .vbs, .js, .ps1, .bat.

Ошибка 2: Игнорирование папок «Загрузка» и «Рабочий стол».
Первая жертва — это часто пользователь. Он открывает файл, вирус запускается. На рабочем столе могут остаться следы: иконки, которые исчезли, или временные файлы, созданные для запуска. Не пренебрегайте пользовательскими папками.

Ошибка 3: Удаление файлов до анализа.
Вас может увлечь желание «очистить» систему. Не удаляйте ничего, пока не сделаете копию (img) или хотя бы не скопируете подозрительные файлы в безопасное место. Удаление может уничтожить ключ, если он был записан в файл, который потом был перезаписан.

Ошибка 4: Сосредоточение только на локальных дисках.
Если у вас есть сетевые диски или подключенные USB-накопители, шифровальщик мог оставить там свои следы. Ключи иногда пишутся на самый первый доступный носитель.

Сценарии: Как действовать в зависимости от ситуации

В зависимости от того, что вы видите перед собой, алгоритм поиска будет немного отличаться.

Сценарий А: «Красный экран» и требование выкупа
Если вы видите файл README.txt или HOW_TO_DECRYPT.HTML, сначала прочитайте его. Там часто указано имя шифровальщика (например, GANDCRAB, WCRY). Зная имя, вы можете сразу искать конкретные пути, характерные для этого семейства. Например, GandCrab часто клал ключ в %USERPROFILE%\AppData\Local\Temp\ с расширением .key.

Сценарий Б: Файлы зашифрованы, но нет заметки
Это сложнее. Вы просто не можете открыть файлы. Здесь нужно искать файл с расширением .encrypted или .locked, который находится рядом с оригинальным файлом. Часто название файла сохраняется, но к нему добавляется расширение, а ключ лежит в папке AppData. В этом случае используйте поиск по дате изменения файлов.

Сценарий В: Шифрование в реальном времени
Если процесс еще идет, не ищите ключи в файлах. Ищите процесс в памяти. Используйте инструменты типа Process Hacker или Sysinternals Suite, чтобы найти процесс, который активно работает с дисками. Если процесс еще запущен, ключ может быть в памяти.

Как проверить, что вы нашли то, что нужно

Вы нашли файл. Он называется config.dat или key.txt. Как понять, что это ключ, а не просто мусор?

• Структура данных. Откройте файл. Если вы видите читаемые строки вроде «To decrypt your files please contact us…», это не ключ. Это сообщение. Если вы видите 0x4F 0x2A ... или длинную строку Base64 (набор букв и цифр, например AQAB...), это похоже на ключ.
• Размер файла. Ключи RSA обычно имеют размер 256, 512, 1024 или 2048 бит. В файле это будет соответствовать определенному размеру (например, 256 байт или 1 КБ). Если файл весит 1 байт, это скорее всего просто маркер.
• Время создания. Файл должен быть создан в момент инцидента. Если файл создан год назад — это не ключ шифровальщика (если только это не старый бэкдор).

Резюме и рекомендации

Поиск скрытых каталогов и ключей — это работа детектива. Нужно искать не то, что кричит о себе, а то, что спрятано. Основной фокус должен быть на временных папках, скрытых системных директориях и файлах конфигурации, созданных в момент атаки.

Что делать прямо сейчас:

1. Не перезагружайте систему, если есть подозрение, что процесс еще работает.
2. Включите отображение скрытых файлов.
3. Ищите файлы с расширениями .key, .cfg, .dat, .xml, созданные в последние 24 часа.
4. Используйте поиск по содержимому, если расширение не помогает.
5. Если нашли файл, не удаляйте его. Скопируйте в безопасное место и попробуйте найти его ID в базах данных расшифровки (например, на сайте No More Ransom).

Помните: шифровальщики могут изменяться, но они всегда оставляют следы. Их задача — зашифровать ваши данные, и для этого им нужен контроль над ключом. Этот контроль — их ахиллесова пята.

Информация в статье носит ознакомительный и образовательный характер. Работа с вредоносным ПО сопряжена с рисками для безопасности данных и инфраструктуры. При работе с активными угрозами рекомендуется привлекать сертифицированных специалистов по кибербезопасности. Использование полученных знаний должно осуществляться только в рамках законной деятельности и защиты собственных информационных систем.