Sto cercando alcuni esempi di ransomware che funzionano su Linux, così posso mostrare una dimostrazione del concetto con il sistema operativo di Qubes su come le altre macchine virtuali possono essere al sicuro da un attacco di riscatto se una singola macchina virtuale (o un dispositivo monouso virtuale macchina) viene compromessa.
Ma non so dove posso trovare questi campioni. Qualcuno può aiutare?
Forse non hai bisogno del ransomware per dimostrare cosa succede. Potresti falsificare l'output dell'attacco usando openssl in questo modo:
Encrypt: openssl aes-256-cbc -pass pass:pwd -in victim -out victim.ransom && rm victim
Decripta: openssl aes-256-cbc -pass pass:pwd -d -in victim.ransom -out victim
Tuttavia, sembra che tu possa essere più interessato a dimostrare l'attività dello scanner del file system ransomware, per provare che la tua VM isolata non può crittografare i file del sistema host o di altri sistemi guest. È piuttosto come provare un negativo. La migliore dimostrazione potrebbe essere quella di mostrare come funziona la ricerca, perché è esattamente ciò che il ransomware dovrebbe fare.
Crea un file chiamato /tmp/sacrificial_pic_<vmname>.jpg su ciascuna VM, inclusa la VM che ospita il malware falso, sostituendo il nome della macchina nel nome file sopra. Esegui il comando find sulla VM che ospita il malware falso, in questo modo:
find / -name \*.jpg -print
Questo emulerà l'attività del malware alla ricerca di file immagine da crittografare. L'unico JPG sacrificale che il comando find dovrebbe scoprire è quello sulla tua VM locale.
Il modo migliore per dimostrare il rischio di ransomware è scrivere un semplice script di shell che crittografa i file in una cartella. Non solo si dimostrerà utile, ma è anche molto facile da capire per le persone che non sono tecnicamente alfabetizzate o inclini.
Linux ha openssl come pacchetto opzionale dove la maggior parte dei sistemi Windows ha cipher integrato.
Dovrebbe essere inclusa anche una discussione pertinente sulle corrette politiche di backup.
Perché non fare uno veloce?
Come demo, ti serve solo:
un archiver con riga di comando come 7zip,
un file di destinazione (documento) da crittografare
una bella foto che chiede il riscatto
un file batch / script per creare un archivio
Si crea il file batch / script del documento con password e poi all'interno dello stesso file di script si cancella il documento. Non avrai documenti originali e file crittografati (e per la password dovrai pagare il riscatto). Come prova del concetto è abbastanza per dimostrare ciò che vuoi.
La maggior parte del malware può essere identificato da hash (MD5, SHA1, ecc.). Potrebbe essere necessario trovare l'hash e la ricerca (che ti porterà sul sito fornendoti i campioni che desideri) o cercare a caso su questa lista .
Leggi altre domande sui tag ransomware