الحماية للأبد -Security 4 Ever

الحماية للأبد -Security 4 Ever (https://www.sec4ever.com/home/index.php)
-   قسم الأخبار التقنية والنقاشات الجادة (https://www.sec4ever.com/home/forumdisplay.php?f=98)
-   -   [أقتراح] SkyBlocks Ransomware (https://www.sec4ever.com/home/showthread.php?t=19657)

x0Slotleet 05-10-2019 05:23 PM

SkyBlocks Ransomware
 
5 مرفق
السلام عليكم، منذ فترة تعمقت في الرانسوموير، وحبيت اني ابرمج رانسووير من الصغر باستعمال بايثون 3

المهم برمجت تقريباً الكور كامل، باقي فيه بعض اللمسات الاخيرة وهذه مميزاته :

التشفير بإستعمال AES
توليد مفتاج وجلبه من السيرفر وبدا التشفير ثم مسحه من جذوره
لوحة تحكم كاملة للرانسوير وعدد الضحايا + يوجد اداة تعمل Generate للمفتاح اوتوماتيكي
تغيير صورة الجهاز
استعمال https لضمان عدم التنصت على المفاتيح

التشفير بإستعمال pycrypto وهي اسرع مكتبة في البايثون
استعمال Pyarmor وعمل Obfuscating للكود كامل لكي يصعب هندسة عكسيته ( ولكن طبعاً ممكن )
يدعم Py2EXE لكي نعمل ملف executable
حجم الملف 1.9MB ( غير مكشوف في virustotal )
مسح الShadow copy من الويندوز
قرائة الملفات والكتابة عليه 0 بطريقة الـBlocks لعدم استرجاع الملفات المحذوفة

import os def overwrite(f): """Overwrite a file with zeroes. Arguments: f -- name of the file """ stat = os.stat(f) with open(f, 'r+') as of: of.write('\0' * stat.st_size) of.flush()

يبحث عن 290 ext ويشفر بطريقة رهيبة وسريعة جداً

هارد D فيه 10GB ملفات شفرهم بوقت قصير جدا


واهم شيء، حاولت اتعامل مع شبكة tor ولكن لضيق الوقت ما نفع الامر، ففكرت بموضوع انه اسوي
2 سيرفر، واحد اتصل فيه من الرانسوموير ، والثاني هو لوحة التحكم لضمان عدم معرفتها

وهي كالتالي

1: يتصل الرانسوموير ب سيرفر رقم 1
2: يتصل سيرفر رقم 1 ب سيرفر رقم 2 الذي يولد المفتاح اوتوماتيكي
3: سيرفر رقم 2 يرد على سيرفر رقم 1 بالمفتاح
4: سيرفر رقم 1 يرد على الرانسوموير بالمفتاح ويبدا التشفير

طبعا الموضوع ياخذ اقل من ثانية

وبهذه الحالة، ان عمل تم فك تشفير الرانسومير بيعرفوا بس السيرفر رقم 1، اما سيرفر رقم 2 وهو الاهم يبقى سري
الى ان في حال تم اختراق سيرفر رقم 1 وقرائة الـSource Code فسوف يعرفون السيرفر رقم 2


هذا الاونلاين ...

اما اصدار الـOffline ddd

يشفر عن طريق الوقت، ثم ميزت التشفير ومعرفته بقرائة ملف جديد اسمه Keys.txt

والدالة التي اشفر فيها ميزتها، ولا يمكن معرفة كيف يتم فك الشفير الى ان كان ضليع جداً في الهندسة العكسية ولغة الـPytjon

ثم اكيد عند فك التشفير، يتواصل مع صاحب الرانسوموير وعند الدفع يعطيه طريقة فك تشفيره ...


اريد اقتراحات، وافكار لاطورها في الرانسوموير، وانا ضيعت نص وقتي بالبرمجة على التفكير ddddddddd

ملاحظة: سوف انشر الSource Code لمن يهمه الامر، كامل بدون تعديل ولا تنقيص، ولكن لعدد قليل من الناس الموثوق بهم ...

nine_443 05-10-2019 06:39 PM

رد: SkyBlocks Ransomware
 
عندي سؤالين لو سمحت :

1- لانك برمجت الفايروس ف البايثون , هل يشترط وجود البايثون على جهاز الضحة ليعمل الفايروس ؟



2- لماذا تفحص على virustotal وهو يرسل القيم ؟ ما الهدف من الفحص مثل هيك موقع ؟ مع العلم في مواقع افضل مثل : http://scanlabs.net/



واشكرك من الاعماق على طرح مثل هيك مواضيع .

Y4hy4 05-10-2019 10:01 PM

رد: SkyBlocks Ransomware
 
لا أعرف إن كانت فكرة جيدة أو لا


لكن ما رأيك إنك تعمل سيرفر honeypot و سيرفر بروكسي هو يقرر إنو يوجه الركوست إلى سيرفر حقيقي أو honeypot و تكون في signature حتى تعرف تميز بين الركوست إلي جاية من ransomeware أو الركوست إلي جاية من شخص أخر يحاول يعرف ip سيرفر حقيقي

UzunDz 05-10-2019 11:21 PM

رد: SkyBlocks Ransomware
 
اصابني منذ فترة فيروس فدية تحت اسم Nemty project
يحذف ملفات restore point وملفات shadow copy حتى عند استرجاع الملفات القديمة تجدها مشفرة ايظا .. والدفع بيتكون عبر سيرفرات الtor
الف دولار ليتم فك التشفير ..
كفكرة اضافية بتضع رابط محفظة بيتكوين والشخص الذي يقوم بالدفع لست مجبرا على ان تفك شفرة ملفاته .. يمكنك تخطي جزئية فك التشفير كليا وجعلها وهمية اي بتشفير احادي القطب حتى انت لا تملك طريقة فكه لأن الأهم هو وصول المال.

للإخوة كإجراء احترازي قوموا بتفعيل bitlocker على الهارد الذي يحتوي ملفات مهمة
وتجريب اي برنامج في المحاكي او sandbox.

x0Slotleet 06-10-2019 06:22 AM

رد: SkyBlocks Ransomware
 
اقتباس:

المشاركة الأصلية كتبت بواسطة UzunDz (المشاركة 104100)
اصابني منذ فترة فيروس فدية تحت اسم Nemty project
يحذف ملفات restore point وملفات shadow copy حتى عند استرجاع الملفات القديمة تجدها مشفرة ايظا .. والدفع بيتكون عبر سيرفرات الtor
الف دولار ليتم فك التشفير ..
كفكرة اضافية بتضع رابط محفظة بيتكوين والشخص الذي يقوم بالدفع لست مجبرا على ان تفك شفرة ملفاته .. يمكنك تخطي جزئية فك التشفير كليا وجعلها وهمية اي بتشفير احادي القطب حتى انت لا تملك طريقة فكه لأن الأهم هو وصول المال.

للإخوة كإجراء احترازي قوموا بتفعيل bitlocker على الهارد الذي يحتوي ملفات مهمة
وتجريب اي برنامج في المحاكي او sandbox.




هههههههههه هذه الـNasty way

فكرت فيها والله، اسوي المفتاح عن طريق الوقت، ثم لا اكتب المفتاح بشيء، ويصعب فكه لانه يعتمد على الميلي سيكوند

عالعموم، وصلت لمرحلة نشفان بالاموال، اني فكرت فيها وكنت رح سويها لانه الاهم الوصول للمال وليس عدد الضحايا :P

بس، غيرت الفكرة كلها ، احنا مش مخربين ddd

x0Slotleet 06-10-2019 06:23 AM

رد: SkyBlocks Ransomware
 
اقتباس:

المشاركة الأصلية كتبت بواسطة Y4hy4 (المشاركة 104099)
لا أعرف إن كانت فكرة جيدة أو لا


لكن ما رأيك إنك تعمل سيرفر honeypot و سيرفر بروكسي هو يقرر إنو يوجه الركوست إلى سيرفر حقيقي أو honeypot و تكون في signature حتى تعرف تميز بين الركوست إلي جاية من ransomeware أو الركوست إلي جاية من شخص أخر يحاول يعرف ip سيرفر حقيقي


فكرة جميلة، فكرت فيها، ولكن لا يوجد وقت والله

هو فقط 2 scripts بي اتش بي، واخد تحطه في سيرفر والثاني في سيرفر، السيرفر الاهم الي يكون فيه قاعدة البيانات ...

x0Slotleet 06-10-2019 06:26 AM

رد: SkyBlocks Ransomware
 
اقتباس:

المشاركة الأصلية كتبت بواسطة nine_443 (المشاركة 104098)
عندي سؤالين لو سمحت :

1- لانك برمجت الفايروس ف البايثون , هل يشترط وجود البايثون على جهاز الضحة ليعمل الفايروس ؟



2- لماذا تفحص على virustotal وهو يرسل القيم ؟ ما الهدف من الفحص مثل هيك موقع ؟ مع العلم في مواقع افضل مثل : http://scanlabs.net/



واشكرك من الاعماق على طرح مثل هيك مواضيع .


http://www.py2exe.org/

py2exe is a Python Distutils extension which converts Python scripts into executable Windows programs, able to run without requiring a Python installation.http://www.py2exe.org/spice.gif



لا يشترط تنصيب البايثون، هو يدمج المكتبات المطلوبة بالملف ...

2 :

فحصته عل سريع، لا يوجد نية نشر الرانسوموير، ولكن ان حصل في المستقبل، لا تقلق لن يكون ملف ضار ddd

x0Slotleet 06-10-2019 06:31 AM

رد: SkyBlocks Ransomware
 
تعديل رقم 1 :

باين الاعضاء مخها نضيفة :d

المهم احد الاعضاء اتكلم معاي وعرض فكرته،

الرانسوموير سوف يكون فيه شرطية، ان كان في الجهاز انترنت، خذ المفتاح من السيرفر ثم ابدا التشفير، ان كان لا يوجد فيه انترنت، سوي المفتاح تلقائي وابدا التشفير ...

ثم التاكد ان كان الجهاز vm عن طريق بحث بعض الملفات الخاصة بالvm او مثل رانسوموير الوانا كراي، ان كان على شبكة nat لا يشفر شيء ...

سوف اضيفها عما قريب ان شاء الله .. وبكذا يبقى اصدار واحد فقط يشتغل اونلاين واوفلاين ..

CorSica 06-10-2019 06:51 PM

رد: SkyBlocks Ransomware
 
من باب كرام الهاكر الاخلاقي يترك نوع من المكافاء لضحيه
يعني لو اضحيه لم يدفع الفاديه بعد مرور 6 اشهر يتم فك تشفير الملفات
بدون تغير تاريخ الجهاز يعني التحكم يكون من لوحة التحكم وليس من الجهاز
مجرد راي

Dr.Mohamed 07-10-2019 09:37 AM

رد: SkyBlocks Ransomware
 
تقدر تستعمل فكرة انك تنشر فيروسات الفدية بمختلف الاشكال والانواع

وتعمل موقع خدمات للفك بعمولة توهم الضحية انك كسرت الحماية وتفك بثمن رمزي 90% off


الساعة الآن 03:42 PM

Powered by vBulletin® Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.