列出檔案並根據修改日期排序

機器中了綁架病毒（Ransomware），將所有檔案加密後，檔名後綴.adage。這時候想要知道這隻綁架病毒從什麼時候開始將檔案加密，將檔案依照修改時間排序：

• find . -name "*.adage" -printf "%T@ %Tc %p\n" | sort -n | tail -5

上述指令的參數說明如下：

• %Tk：檔案最後修改的時間，格式用k來決定
• %Tk：從1970/1/1的00:00 GMT到修改的時間，包含小數部分
• %Tc：檔案修改的當地時間
• %p：檔案名稱

測試的結果發現，這隻綁架病毒綁架手法如下：

• 2012 May 29, 15:58:34 綁架了第一個檔案，然後就停止不動
• 2019 Aug 8, 02:50:05 開始綁架資料夾底下的檔案
• 2019 Aug 8, 17:22:50 完成最後一個檔案綁架，總計綁架了百萬個檔案

參考資料

• man find：找到printf那個段落
• Unix/Linux find and sort by date modified：裡面還有其他手法
• How to remove .[wewillhelpyou@qq.com].adage Ransomware from PCs

_EOF_