Comment détecter si un fichier a été chiffré ?

Bonjour, je cherche un moyen de savoir si un fichier a été chiffré ou non.
Ou si un fichier chiffré a été déposé sur un serveur samba par exemple.

Si vous avez des pistes… :017

Merci !! :smiley:

quel type de fichier t’intéresse en particulier ?
te fies-tu aux extensions ?

Je dirais qu’il est facile de savoir si un fichier .doc est chiffré : il sera alors impossible de l’ouvrir directement avec le logiciel dédié. Pareil pour les images, les pdfs, les feuilles de tableur…

Salut bobo38, pas d’extensions en particulier, quasiment tout en fait.

C’est sûr qu’en l’ouvrant avec le logiciel dédié on le voit tout de suite, mais j’aurai aimé trouver une méthode automatique qui détecte le chiffrement d’un fichier :shifty:

Ben, en fait, non.
Parcque le contenu d’un fichier chiffré, c’est juste du binaire impossible à comprendre sans l’opération de déchiffrement.

Il n’y a pas de header ou autre, indiquant le contenu du fichier.

Nan pcq en fait, le fond de ma pensée c’est de pouvoir détecter si un virus du style cryptolocker s’attaque à un partage réseau.

Car j’ai fais des tests, et si un lecteur réseau est connecté sur une machine infectée par un cryptolocker, ce dernier chiffre les données présente sur la partie du serveur connecté au lecteur réseau :017

Mais bon je méditerai sur d’autres pistes qd j’aurai du temps libre.

MERCI :violin:

Bjr,

Une idée (mais j’ai pas testé):
Un cron qui lance un script basé sur la commande file suivie d’un peu de grep sur les types de fichiers que tu autorises. En cas d’alerte, envoie d’un mail que tu reçois sur ton portable.

Ajout: Si ton virus crypte TOUS les fichiers présents sur le répertoire; tu peux te contenter d’y déposer VOLONTAIREMENT un ou 2 fichiers (image, texte, pdf…) dont tu auras au préalable calculé et stocké le hash (md5sum par exemple).
Le cron que j’évoque plus haut peut alors se contenter de vérifier le hash de ces quelques fichiers.

En mode visuel manuel, j’utilise le preview des images JPG, si le preview fonctionne, c’est que le fichier est sain… Si le preview n’arrive pas faire une vignette, c’est que c’est moisi…

On peut peut-être tenter un script pour construire une vignette, dans un même fichier temporaire, via un outil ou une routine destinée à traiter ou créer des aperçus d’images (aucune en tête, ni à te proposer) et si la commande retourne une erreur, c’est que probablement, le fichier est moisi, ou crypté…

C’est un contournement, et cela ne fonctionne que si un volume assez significatif de fichier JPEG est présent, par échantillonnage… C’est pas top, mais mieux que rien ?