Estoy trabajando en el análisis de malware en mi universidad y estoy tratando de desarrollar ransomware. Estoy planeando publicar el código fuente una vez que esté terminado. ¿Hay alguna muestra de ransomware de código abierto para que pueda echar un vistazo?
Hay un ransomware de código abierto llamado Tear Tear . El código cifra los archivos con las siguientes extensiones: ".txt", ".doc", ".docx", ".xls", ".xlsx", ".ppt", ".pptx", ".odt", " .jpg "," .png "," .csv "," .sql "," .mdb "," .sln "," .php "," .asp "," .aspx ",". html " .xml "," .psd "de forma predeterminada con el cifrado AES de 256 bits.
Es de código abierto, por lo que se puede personalizar fácilmente no solo para buscar archivos adicionales, sino también la forma en que se realiza el cifrado.
Dudo que encuentres el código fuente del ransomware flotando en el público en general. Supongo que hay código fuera allí en alguna parte pero no me arriesgaría a visitar sitios sombríos en el "Darknet" (realmente odio ese término).
(Des) afortunadamente, el ransomware no es muy complejo. Para un proyecto universitario, simplemente cifrar y reemplazar archivos en ~ / Documentos es probablemente lo suficientemente bueno. El truco es hacer que la clave de descifrado solo se pueda obtener a través de usted.
Encriptación:
Descifrado:
Obtenga K del servidor.
Descifra archivos con K
Sé que el ransomware notorio utiliza cifrado asimétrico, pero en realidad no es necesario en absoluto. Por ejemplo, RSA implementado incorrectamente por CryptoDefense en realidad hizo que sea más fácil escribir herramientas de descifrado automatizadas, porque no se dieron cuenta de que la API de Windows Crypto mantiene copias locales de las claves privadas RSA generadas. Poner la fe ciega en un sistema de criptografía no lo hará seguro. Lo importante es que la clave de descifrado no es recuperable en el sistema. No se importa si esto se hace o no mediante la memoria cero o el cifrado de K con una clave pública RSA.
No. No hay y estoy bastante seguro de que nunca lo habrá: imagina que las armas nucleares están disponibles para comprar en la tienda.
El espíritu de la comunidad de código abierto es, afortunadamente, invirtiendo esfuerzos positivos para desarrollar herramientas que protejan a los usuarios desde anti virus como ClamAV a los exploradores de vulnerabilidades web como Grabber , pasando por herramientas que están más bien destinadas a evaluar los sistemas de los usuarios como esos que puede encontrar en Kali Linux usado para pentesting (por supuesto, siempre puede usar el cuchillo para matar a alguien).
Pero es cierto que hay algunas herramientas de código abierto nefarious como ZombieBrowserPack , que es un el complemento se puede manipular de forma remota para robar las credenciales de autenticación e incluso omitir los mecanismos de autenticación de dos factores, como los implementados por Yahoo y Google, o simplemente secuestrar su cuenta de Facebook y mucho más. Sin embargo, esto no debe llevar a malentendidos: este complemento es desarrollado por Zoltan Balazs como un POC para fines académicos como otras herramientas similares en el mismo contexto: el código del virus está presente libremente en Internet, pero está destinado a fines académicos y no puede perjudicar porque cualquier malware cuyo código se libera se termina, ya que las compañías de antivirus conciben una protección contra él.
" The Zoo " es una buena fuente de software malicioso para la investigación, incluido un ransomware. Esto , por ejemplo, es ransomware:
El ransomware moderno no suele usar solo una clave simétrica ni opera a través del modo descrito en algunas de las otras respuestas. Un método de operación más estrechamente relacionado con el ransomware del "mundo real" se ve así:
De esta manera, cada archivo cifrado tiene su propia clave simétrica cifrada con la clave pública única. Por lo tanto, la única posibilidad de recuperación es comprar la clave privada, que solo existe en el servidor de ransomware.
Lea otras preguntas en las etiquetas ransomware opensource