Estoy buscando algunos ejemplos de ransomware que funcionen en Linux para poder mostrar una prueba de concepto con el sistema operativo Qubes sobre cómo las otras máquinas virtuales pueden estar a salvo de un ataque de rescate si una sola máquina virtual (o una virtual desechable). máquina) se ve comprometida.
Pero no sé dónde puedo encontrar tales muestras. ¿Alguien puede ayudar?
Tal vez no necesite ransomware para demostrar lo que sucede. Puedes falsificar la salida del ataque utilizando openssl como este:
Cifrar: openssl aes-256-cbc -pass pass:pwd -in victim -out victim.ransom && rm victim
Descifrar: openssl aes-256-cbc -pass pass:pwd -d -in victim.ransom -out victim
Sin embargo, parece que puede estar más interesado en demostrar la actividad del escáner del sistema de archivos ransomware, para demostrar que su máquina virtual aislada no puede cifrar los archivos del sistema host o de otros sistemas invitados. Eso es más bien como probar una negativa. La mejor demostración podría ser mostrar cómo funciona la búsqueda, porque eso es exactamente lo que tendría que hacer el ransomware.
Cree un archivo llamado /tmp/sacrificial_pic_<vmname>.jpg en cada una de las máquinas virtuales, incluida la máquina virtual que aloja el malware falso, sustituyendo el nombre de la máquina en el nombre de archivo anterior. Ejecute el comando de búsqueda en la máquina virtual que aloja el malware falso, como este:
find / -name \*.jpg -print
Esto emulará la actividad del malware que busca archivos de imagen para cifrar. El único JPG sacrificial que su comando de búsqueda debe descubrir es el de su máquina virtual local.
La mejor manera de demostrar el riesgo del ransomware es escribir un script de shell simple que encripta los archivos en una carpeta. Esto no solo será útil, sino que también es muy fácil de entender para las personas que no tienen conocimientos técnicos o están inclinados.
Linux tiene openssl como un paquete opcional donde, como la mayoría de los sistemas de Windows, tiene cipher incorporado.
También se debe incluir una discusión relevante sobre las políticas de copia de seguridad adecuadas.
¿Por qué no hacer una rápida?
Como demostración, solo necesitas:
un archivador con línea de comando como 7zip,
un archivo (documento) de destino para cifrar
una bonita imagen que pide un rescate
un archivo por lotes / script para hacer un archivo
Usted crea el archivo de lote / script del documento con una contraseña y luego, dentro del mismo archivo de script, borra el documento. No tendrá un documento original ni un archivo cifrado (y para la contraseña debe pagar el rescate). Como prueba de concepto es suficiente para demostrar lo que quieres.
La mayoría de los programas maliciosos pueden identificarse mediante hash (MD5, SHA1, etc.). Es posible que deba encontrar el hash y la búsqueda (que lo llevará al sitio que proporciona las muestras que desea) o buscar al azar en esta lista .
Lea otras preguntas en las etiquetas ransomware