Sto lavorando all'analisi del malware nella mia università e sto cercando di sviluppare il ransomware. Sto pensando di pubblicare il codice sorgente dopo che è finito. Esiste un campione ransomware open source, quindi posso dare un'occhiata?
C'è un ransomware open source chiamato Lacrima nascosta . Il codice crittografa i file con le seguenti estensioni: ".txt", ".doc", ".docx", ".xls", ".xlsx", ".ppt", ".pptx", ".odt", " .jpg "," .png "," .csv "," .sql "," .mdb "," .sln "," .php "," .asp "," .aspx "," .html "," .xml "," .psd "per impostazione predefinita con crittografia AES 256 bit.
È open source, quindi può essere facilmente personalizzato non solo per cercare file aggiuntivi, ma anche per il modo in cui viene eseguita la crittografia.
Dubito che troverai il codice sorgente del ransomware che fluttua nel pubblico in generale. Immagino che non ci sia codice da qualche parte ma non rischierei di visitare siti ombrosi sul "Darknet" (odio davvero quel termine).
(Un) fortunatamente, il ransomware non è molto complesso. Per un progetto universitario, la semplice crittografia e sostituzione dei file in ~ / Documents è probabilmente abbastanza buona. Il trucco sta rendendo la chiave di decrittazione ottenibile solo attraverso te.
Crittografia:
Decodifica:
Ottieni K dal server.
Decifra file con K
So che il famigerato ransomware usa la crittografia asimmetrica, ma in realtà non è affatto necessario. Ad esempio, RSA implementato in modo errato da CryptoDefense in realtà lo ha reso più facile per scrivere strumenti di decrittografia automatici, perché non si sono resi conto che un'API di Windows Crypto conserva copie locali delle chiavi private RSA generate. Mettere la cieca fiducia in un sistema crittografico non lo renderà sicuro. L'importante è che la chiave di decrittografia non sia ripristinabile sul sistema. Indipendentemente dal fatto che ciò avvenga senza azzeramento della memoria o crittografando K con una chiave pubblica RSA non importa nulla.
No. Non c'è e sono abbastanza sicuro che non ci sarà mai: immaginate che le armi nucleari siano disponibili per l'acquisto nel negozio.
Lo spirito della comunità Open Source sta fortunatamente investendo sforzi positivi per sviluppare strumenti che proteggano gli utenti che vanno dagli anti virus come ClamAV per gli scanner di vulnerabilità del web come Grabber , passando per strumenti che sono invece destinati a valutare i sistemi degli utenti come quelli puoi trovare in Kali Linux usato per il pentesting (ovviamente puoi sempre usare il coltello per uccidere qualcuno).
Ma è vero che ci sono alcuni nefarious strumenti open source come ZombieBrowserPack che è un il plug-in può essere manipolato in remoto per sottrarre credenziali di autenticazione e persino bypassare meccanismi di autenticazione a due fattori come quelli implementati da Yahoo e Google, o semplicemente dirottare il tuo account Facebook e molto altro ancora. Tuttavia, questo non deve portare a fraintendimenti: questo plugin è sviluppato da Zoltan Balazs come POC per scopi accademici come altri strumenti simili nello stesso contesto: il codice del virus è presente liberamente su Internet ma è inteso per scopi accademici e non può essere danneggiato perché ogni malware che il codice viene rilasciato ha finito la sua vita in quanto le compagnie anti-virus concepiscono una protezione contro di esso.
" Lo Zoo " è una buona fonte di malware per la ricerca, incluso qualche ransomware. Questo , ad esempio, è ransomware:
Il ransomware moderno di solito non usa solo una chiave simmetrica o opera attraverso la modalità descritta in alcune delle altre risposte. Un metodo operativo più strettamente correlato al ransomware "mondo reale" si presenta così:
In questo modo, ogni file crittografato ha la propria chiave simmetrica crittografata con la chiave pubblica univoca. Pertanto, l'unica possibilità di ripristino è l'acquisto della chiave privata, che esiste solo sul server ransomware.
Leggi altre domande sui tag ransomware opensource