ESCU Alert - Ransomware Extensions Analysis

چرا این هشدار صادر می‌شود؟

این قانون تغییرات فایلی را در سطح سیستم پایش می‌کند تا فایل‌هایی را شناسایی کند که پسوند (Extension) آن‌ها با لیست شناخته شده‌ای از پسوندهای باج‌افزار مطابقت دارد. زمانی که باج‌افزارها فایل‌های کاربر را رمزنگاری می‌کنند، معمولاً پسوند فایل را به یک نام خاص (مانند .locky، .crypt یا .ryuk) تغییر می‌دهند. این قانون به دنبال ایجاد یا تغییر نام تعداد زیادی فایل با این پسوندها است.

Data Model: Endpoint.Filesystem
Lookup: ransomware_extensions_lookup
Threshold: path_count > 1 OR file_count > 20
Technique: Data Encrypted for Impact (T1486)

هدف این قانون شناسایی فاز رمزنگاری (Encryption Phase) در حمله باج‌افزار است، جایی که بدافزار در حال غیرقابل دسترس کردن داده‌های سازمان می‌باشد.

دسته‌بندی سناریوهای مشکوک

سناریوهای پرخطر

رمزنگاری انبوه: ایجاد یا تغییر نام صدها فایل در مدت زمان کوتاه با پسوندهای شناخته شده باج‌افزار در پوشه‌های اشتراکی یا داکیومنت‌های کاربر.
فعالیت در چندین مسیر: مشاهده تغییرات همزمان در چندین دایرکتوری یا درایو مختلف.
پسوندهای تصادفی: ایجاد فایل‌هایی با پسوندهای طولانی و تصادفی که مشخصه برخی باج‌افزارهای مدرن است.

سناریوهای متوسط

فایل‌های خاص: مشاهده فایل‌هایی با نام‌های خاص مانند DECRYPT_INSTRUCTIONS.txt یا مشابه آن در کنار فایل‌های تغییر یافته.
فعالیت در پوشه‌های کاربر: تغییرات محدود اما مشکوک در پوشه‌هایی مانند Desktop یا Downloads.

سناریوهای کم‌خطر (مثبت کاذب)

ابزارهای پشتیبان‌گیری: نرم‌افزارهای بکاپ که پسوند فایل‌های آرشیو شده را تغییر می‌دهند (مثلاً .bak یا پسوندهای اختصاصی).
نرم‌افزارهای رمزنگاری قانونی: استفاده کاربران از ابزارهایی برای رمزنگاری فایل‌های شخصی خود.
تغییر نام دستی: تغییر نام فایل‌ها توسط کاربر برای اهداف بایگانی.

ارزیابی خطر و تریاژ

برای تشخیص واقعی بودن تهدید، موارد زیر را بررسی کنید:

نشانه قطعی خطر: تغییر نام انبوه فایل‌های آفیس و PDF در مدت زمان بسیار کوتاه به پسوندی ناشناخته توسط فرآیندی غیر از آفیس یا اکسپلورر.

بررسی فرآیند: چه برنامه‌ای این فایل‌ها را ایجاد یا تغییر نام داده است؟ (Process GUID/ID).
مسیر فایل‌ها: آیا فایل‌ها در مسیرهای حساس سازمانی یا اشتراکی هستند؟
بررسی پسوند: آیا پسوند فایل در لیست باج‌افزارهای شناخته شده قرار دارد؟
کاربر: فعالیت تحت نام کدام کاربر انجام شده است؟

الزامات داده و مدل‌ها

اطلاعات مورد نیاز

Sysmon Event ID 11 (File Create)
Windows Security Event 4663 (File Access)

دیتامدل‌های مورد استفاده

Endpoint.Filesystem

فیلدهای کلیدی جهت بررسی

هنگام تحلیل لاگ‌های سیستمی در Splunk، این فیلدها حیاتی هستند:

file_name

file_extension

dest (Host)

user

action

path_count

file_count