¿Existe algún ransomware de código abierto? [cerrado]

20

Estoy trabajando en el análisis de malware en mi universidad y estoy tratando de desarrollar ransomware. Estoy planeando publicar el código fuente una vez que esté terminado. ¿Hay alguna muestra de ransomware de código abierto para que pueda echar un vistazo?

    
pregunta Onsur 11.08.2015 - 08:12
fuente

5 respuestas

16

Hay un ransomware de código abierto llamado Tear Tear . El código cifra los archivos con las siguientes extensiones: ".txt", ".doc", ".docx", ".xls", ".xlsx", ".ppt", ".pptx", ".odt", " .jpg "," .png "," .csv "," .sql "," .mdb "," .sln "," .php "," .asp "," .aspx ",". html " .xml "," .psd "de forma predeterminada con el cifrado AES de 256 bits.

Es de código abierto, por lo que se puede personalizar fácilmente no solo para buscar archivos adicionales, sino también la forma en que se realiza el cifrado.

    
respondido por el void_in 18.08.2015 - 07:40
fuente
13

Dudo que encuentres el código fuente del ransomware flotando en el público en general. Supongo que hay código fuera allí en alguna parte pero no me arriesgaría a visitar sitios sombríos en el "Darknet" (realmente odio ese término).

(Des) afortunadamente, el ransomware no es muy complejo. Para un proyecto universitario, simplemente cifrar y reemplazar archivos en ~ / Documentos es probablemente lo suficientemente bueno. El truco es hacer que la clave de descifrado solo se pueda obtener a través de usted.

Encriptación:

  1. Generar clave simétrica K
  2. Cifre todos los archivos en ~ / Documentos con K
  3. Enviar K al servidor
  4. Borrar todos los rastros de K

Descifrado:

  1. Obtenga K del servidor.

  2. Descifra archivos con K

Sé que el ransomware notorio utiliza cifrado asimétrico, pero en realidad no es necesario en absoluto. Por ejemplo, RSA implementado incorrectamente por CryptoDefense en realidad hizo que sea más fácil escribir herramientas de descifrado automatizadas, porque no se dieron cuenta de que la API de Windows Crypto mantiene copias locales de las claves privadas RSA generadas. Poner la fe ciega en un sistema de criptografía no lo hará seguro. Lo importante es que la clave de descifrado no es recuperable en el sistema. No se importa si esto se hace o no mediante la memoria cero o el cifrado de K con una clave pública RSA.

    
respondido por el David Zech 11.08.2015 - 20:39
fuente
7

No. No hay y estoy bastante seguro de que nunca lo habrá: imagina que las armas nucleares están disponibles para comprar en la tienda.

El espíritu de la comunidad de código abierto es, afortunadamente, invirtiendo esfuerzos positivos para desarrollar herramientas que protejan a los usuarios desde anti virus como ClamAV a los exploradores de vulnerabilidades web como Grabber , pasando por herramientas que están más bien destinadas a evaluar los sistemas de los usuarios como esos que puede encontrar en Kali Linux usado para pentesting (por supuesto, siempre puede usar el cuchillo para matar a alguien).

Pero es cierto que hay algunas herramientas de código abierto nefarious como ZombieBrowserPack , que es un el complemento se puede manipular de forma remota para robar las credenciales de autenticación e incluso omitir los mecanismos de autenticación de dos factores, como los implementados por Yahoo y Google, o simplemente secuestrar su cuenta de Facebook y mucho más. Sin embargo, esto no debe llevar a malentendidos: este complemento es desarrollado por Zoltan Balazs como un POC para fines académicos como otras herramientas similares en el mismo contexto: el código del virus está presente libremente en Internet, pero está destinado a fines académicos y no puede perjudicar porque cualquier malware cuyo código se libera se termina, ya que las compañías de antivirus conciben una protección contra él.

    
respondido por el user45139 11.08.2015 - 08:59
fuente
3

" The Zoo " es una buena fuente de software malicioso para la investigación, incluido un ransomware. Esto , por ejemplo, es ransomware:

El ransomware moderno no suele usar solo una clave simétrica ni opera a través del modo descrito en algunas de las otras respuestas. Un método de operación más estrechamente relacionado con el ransomware del "mundo real" se ve así:

  • Genere un par de claves asimétricas únicas en el servidor de ransomware
  • Envíe la clave pública a la máquina víctima para usarla con el cliente ransomware (ya está esperando en espera en la máquina víctima)
  • Para cada archivo en la lista de archivos para cifrar:
  • ... generar clave simétrica aleatoria (por ejemplo, clave AES)
  • ... cifrar archivo con clave simétrica aleatoria
  • ... cifrar clave simétrica con clave pública asimétrica
  • ... reemplazar el archivo con un archivo cifrado simétrico concatenado con una clave simétrica cifrada con una clave pública

De esta manera, cada archivo cifrado tiene su propia clave simétrica cifrada con la clave pública única. Por lo tanto, la única posibilidad de recuperación es comprar la clave privada, que solo existe en el servidor de ransomware.

    
respondido por el hft 28.04.2017 - 21:47
fuente
2

Puede visitar este enlace:

Podrás entender cómo funciona el ransomware al cifrar y descifrar archivos. Está escrito en C y Python también. Buena suerte!

    
respondido por el Franc 20.12.2016 - 11:45
fuente

Lea otras preguntas en las etiquetas