Tal vez no necesite ransomware para demostrar lo que sucede. Puedes falsificar la salida del ataque utilizando openssl como este:
Cifrar: openssl aes-256-cbc -pass pass:pwd -in victim -out victim.ransom && rm victim
Descifrar: openssl aes-256-cbc -pass pass:pwd -d -in victim.ransom -out victim
Sin embargo, parece que puede estar más interesado en demostrar la actividad del escáner del sistema de archivos ransomware, para demostrar que su máquina virtual aislada no puede cifrar los archivos del sistema host o de otros sistemas invitados. Eso es más bien como probar una negativa. La mejor demostración podría ser mostrar cómo funciona la búsqueda, porque eso es exactamente lo que tendría que hacer el ransomware.
Cree un archivo llamado /tmp/sacrificial_pic_<vmname>.jpg
en cada una de las máquinas virtuales, incluida la máquina virtual que aloja el malware falso, sustituyendo el nombre de la máquina en el nombre de archivo anterior. Ejecute el comando de búsqueda en la máquina virtual que aloja el malware falso, como este:
find / -name \*.jpg -print
Esto emulará la actividad del malware que busca archivos de imagen para cifrar. El único JPG sacrificial que su comando de búsqueda debe descubrir es el de su máquina virtual local.