- find . -name "*.adage" -printf "%T@ %Tc %p\n" | sort -n | tail -5
- %Tk:檔案最後修改的時間,格式用k來決定
- %Tk:從1970/1/1的00:00 GMT到修改的時間,包含小數部分
- %Tc:檔案修改的當地時間
- %p:檔案名稱
測試的結果發現,這隻綁架病毒綁架手法如下:
- 2012 May 29, 15:58:34 綁架了第一個檔案,然後就停止不動
- 2019 Aug 8, 02:50:05 開始綁架資料夾底下的檔案
- 2019 Aug 8, 17:22:50 完成最後一個檔案綁架,總計綁架了百萬個檔案
參考資料
- man find:找到printf那個段落
- Unix/Linux find and sort by date modified:裡面還有其他手法
- How to remove .[wewillhelpyou@qq.com].adage Ransomware from PCs
沒有留言:
張貼留言