Loading...

BTC Address to donate : [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]


x0Slotleet عضو مشرف للمنتدى
  • شكراً: 2219
  • تم شكره 3894 مرة في 1030 مشاركة

السلام عليكم، منذ فترة تعمقت في الرانسوموير، وحبيت اني ابرمج رانسووير من الصغر باستعمال بايثون 3

المهم برمجت تقريباً الكور كامل، باقي فيه بعض اللمسات الاخيرة وهذه مميزاته :

التشفير بإستعمال AES
توليد مفتاج وجلبه من السيرفر وبدا التشفير ثم مسحه من جذوره
لوحة تحكم كاملة للرانسوير وعدد الضحايا + يوجد اداة تعمل Generate للمفتاح اوتوماتيكي
تغيير صورة الجهاز
استعمال https لضمان عدم التنصت على المفاتيح

التشفير بإستعمال pycrypto وهي اسرع مكتبة في البايثون
استعمال Pyarmor وعمل Obfuscating للكود كامل لكي يصعب هندسة عكسيته ( ولكن طبعاً ممكن )
يدعم Py2EXE لكي نعمل ملف executable
حجم الملف 1.9MB ( غير مكشوف في virustotal )
مسح الShadow copy من الويندوز
قرائة الملفات والكتابة عليه 0 بطريقة الـBlocks لعدم استرجاع الملفات المحذوفة

import os def overwrite(f): """Overwrite a file with zeroes. Arguments: f -- name of the file """ stat = os.stat(f) with open(f, 'r+') as of: of.write('\0' * stat.st_size) of.flush()

يبحث عن 290 ext ويشفر بطريقة رهيبة وسريعة جداً

هارد D فيه 10GB ملفات شفرهم بوقت قصير جدا


واهم شيء، حاولت اتعامل مع شبكة tor ولكن لضيق الوقت ما نفع الامر، ففكرت بموضوع انه اسوي
2 سيرفر، واحد اتصل فيه من الرانسوموير ، والثاني هو لوحة التحكم لضمان عدم معرفتها

وهي كالتالي

1: يتصل الرانسوموير ب سيرفر رقم 1
2: يتصل سيرفر رقم 1 ب سيرفر رقم 2 الذي يولد المفتاح اوتوماتيكي
3: سيرفر رقم 2 يرد على سيرفر رقم 1 بالمفتاح
4: سيرفر رقم 1 يرد على الرانسوموير بالمفتاح ويبدا التشفير

طبعا الموضوع ياخذ اقل من ثانية

وبهذه الحالة، ان عمل تم فك تشفير الرانسومير بيعرفوا بس السيرفر رقم 1، اما سيرفر رقم 2 وهو الاهم يبقى سري
الى ان في حال تم اختراق سيرفر رقم 1 وقرائة الـSource Code فسوف يعرفون السيرفر رقم 2


هذا الاونلاين ...

اما اصدار الـOffline

يشفر عن طريق الوقت، ثم ميزت التشفير ومعرفته بقرائة ملف جديد اسمه Keys.txt

والدالة التي اشفر فيها ميزتها، ولا يمكن معرفة كيف يتم فك الشفير الى ان كان ضليع جداً في الهندسة العكسية ولغة الـPytjon

ثم اكيد عند فك التشفير، يتواصل مع صاحب الرانسوموير وعند الدفع يعطيه طريقة فك تشفيره ...


اريد اقتراحات، وافكار لاطورها في الرانسوموير، وانا ضيعت نص وقتي بالبرمجة على التفكير

ملاحظة: سوف انشر الSource Code لمن يهمه الامر، كامل بدون تعديل ولا تنقيص، ولكن لعدد قليل من الناس الموثوق بهم ...

توقيع
one single vulnerability, all an attacker needs

14 أعضاء قالوا شكراً لـ x0Slotleet على المشاركة المفيدة:
nine_443 عضو جديد
  • شكراً: 10
  • تم شكره 4 مرة في 3 مشاركة

عندي سؤالين لو سمحت :

1- لانك برمجت الفايروس ف البايثون , هل يشترط وجود البايثون على جهاز الضحة ليعمل الفايروس ؟



2- لماذا تفحص على virustotal وهو يرسل القيم ؟ ما الهدف من الفحص مثل هيك موقع ؟ مع العلم في مواقع افضل مثل : http://scanlabs.net/



واشكرك من الاعماق على طرح مثل هيك مواضيع .

Y4hy4 :: عضو خاص ::
  • شكراً: 252
  • تم شكره 281 مرة في 87 مشاركة

لا أعرف إن كانت فكرة جيدة أو لا


لكن ما رأيك إنك تعمل سيرفر honeypot و سيرفر بروكسي هو يقرر إنو يوجه الركوست إلى سيرفر حقيقي أو honeypot و تكون في signature حتى تعرف تميز بين الركوست إلي جاية من ransomeware أو الركوست إلي جاية من شخص أخر يحاول يعرف ip سيرفر حقيقي

توقيع
People always make the best exploits. I've never found it hard to hack most people. If you listen to them, watch them, their vulnerabilities are like a neon sign screwed into their heads.
Mr. robot
2 أعضاء قالوا شكراً لـ Y4hy4 على المشاركة المفيدة:
UzunDz فريق الحماية للأبد
  • شكراً: 4517
  • تم شكره 5577 مرة في 1384 مشاركة

اصابني منذ فترة فيروس فدية تحت اسم Nemty project
يحذف ملفات restore point وملفات shadow copy حتى عند استرجاع الملفات القديمة تجدها مشفرة ايظا .. والدفع بيتكون عبر سيرفرات الtor
الف دولار ليتم فك التشفير ..
كفكرة اضافية بتضع رابط محفظة بيتكوين والشخص الذي يقوم بالدفع لست مجبرا على ان تفك شفرة ملفاته .. يمكنك تخطي جزئية فك التشفير كليا وجعلها وهمية اي بتشفير احادي القطب حتى انت لا تملك طريقة فكه لأن الأهم هو وصول المال.

للإخوة كإجراء احترازي قوموا بتفعيل bitlocker على الهارد الذي يحتوي ملفات مهمة
وتجريب اي برنامج في المحاكي او sandbox.

7 أعضاء قالوا شكراً لـ UzunDz على المشاركة المفيدة:
x0Slotleet عضو مشرف للمنتدى
  • شكراً: 2219
  • تم شكره 3894 مرة في 1030 مشاركة

المشاركة الأصلية كتبت بواسطة UzunDz اقتباس :
اصابني منذ فترة فيروس فدية تحت اسم Nemty project
يحذف ملفات restore point وملفات shadow copy حتى عند استرجاع الملفات القديمة تجدها مشفرة ايظا .. والدفع بيتكون عبر سيرفرات الtor
الف دولار ليتم فك التشفير ..
كفكرة اضافية بتضع رابط محفظة بيتكوين والشخص الذي يقوم بالدفع لست مجبرا على ان تفك شفرة ملفاته .. يمكنك تخطي جزئية فك التشفير كليا وجعلها وهمية اي بتشفير احادي القطب حتى انت لا تملك طريقة فكه لأن الأهم هو وصول المال.

للإخوة كإجراء احترازي قوموا بتفعيل bitlocker على الهارد الذي يحتوي ملفات مهمة
وتجريب اي برنامج في المحاكي او sandbox.



هههههههههه هذه الـNasty way

فكرت فيها والله، اسوي المفتاح عن طريق الوقت، ثم لا اكتب المفتاح بشيء، ويصعب فكه لانه يعتمد على الميلي سيكوند

عالعموم، وصلت لمرحلة نشفان بالاموال، اني فكرت فيها وكنت رح سويها لانه الاهم الوصول للمال وليس عدد الضحايا :P

بس، غيرت الفكرة كلها ، احنا مش مخربين

توقيع
one single vulnerability, all an attacker needs

x0Slotleet عضو مشرف للمنتدى
  • شكراً: 2219
  • تم شكره 3894 مرة في 1030 مشاركة

المشاركة الأصلية كتبت بواسطة Y4hy4 اقتباس :
لا أعرف إن كانت فكرة جيدة أو لا


لكن ما رأيك إنك تعمل سيرفر honeypot و سيرفر بروكسي هو يقرر إنو يوجه الركوست إلى سيرفر حقيقي أو honeypot و تكون في signature حتى تعرف تميز بين الركوست إلي جاية من ransomeware أو الركوست إلي جاية من شخص أخر يحاول يعرف ip سيرفر حقيقي

فكرة جميلة، فكرت فيها، ولكن لا يوجد وقت والله

هو فقط 2 استبدال scripts بي اتش بي، واخد تحطه في سيرفر والثاني في سيرفر، السيرفر الاهم الي يكون فيه قاعدة البيانات ...

توقيع
one single vulnerability, all an attacker needs

x0Slotleet عضو مشرف للمنتدى
  • شكراً: 2219
  • تم شكره 3894 مرة في 1030 مشاركة

المشاركة الأصلية كتبت بواسطة nine_443 اقتباس :
عندي سؤالين لو سمحت :

1- لانك برمجت الفايروس ف البايثون , هل يشترط وجود البايثون على جهاز الضحة ليعمل الفايروس ؟



2- لماذا تفحص على virustotal وهو يرسل القيم ؟ ما الهدف من الفحص مثل هيك موقع ؟ مع العلم في مواقع افضل مثل : http://scanlabs.net/



واشكرك من الاعماق على طرح مثل هيك مواضيع .

http://www.py2exe.org/

py2exe is a Python Distutils extension which converts Python استبدال scripts into executable Windows programs, able to run without requiring a Python installation.



لا يشترط تنصيب البايثون، هو يدمج المكتبات المطلوبة بالملف ...

2 :

فحصته عل سريع، لا يوجد نية نشر الرانسوموير، ولكن ان حصل في المستقبل، لا تقلق لن يكون ملف ضار

توقيع
one single vulnerability, all an attacker needs

x0Slotleet عضو مشرف للمنتدى
  • شكراً: 2219
  • تم شكره 3894 مرة في 1030 مشاركة

تعديل رقم 1 :

باين الاعضاء مخها نضيفة :d

المهم احد الاعضاء اتكلم معاي وعرض فكرته،

الرانسوموير سوف يكون فيه شرطية، ان كان في الجهاز انترنت، خذ المفتاح من السيرفر ثم ابدا التشفير، ان كان لا يوجد فيه انترنت، سوي المفتاح تلقائي وابدا التشفير ...

ثم التاكد ان كان الجهاز vm عن طريق بحث بعض الملفات الخاصة بالvm او مثل رانسوموير الوانا كراي، ان كان على شبكة nat لا يشفر شيء ...

سوف اضيفها عما قريب ان شاء الله .. وبكذا يبقى اصدار واحد فقط يشتغل اونلاين واوفلاين ..

توقيع
one single vulnerability, all an attacker needs

الأعضاء الذين قالوا شكراً لـ x0Slotleet على المشاركة المفيدة:
CorSica عضو مميز
  • شكراً: 320
  • تم شكره 313 مرة في 72 مشاركة

من باب كرام الهاكر الاخلاقي يترك نوع من المكافاء لضحيه
يعني لو اضحيه لم يدفع الفاديه بعد مرور 6 اشهر يتم فك تشفير الملفات
بدون تغير تاريخ الجهاز يعني التحكم يكون من لوحة التحكم وليس من الجهاز
مجرد راي

توقيع
Les Bons Comptes Font Toujours Les Bons Amis
الأعضاء الذين قالوا شكراً لـ CorSica على المشاركة المفيدة:
Dr.Mohamed Sec4Ever Team
  • شكراً: 1888
  • تم شكره 5755 مرة في 1425 مشاركة

تقدر تستعمل فكرة انك تنشر فيروسات الفدية بمختلف الاشكال والانواع

وتعمل موقع خدمات للفك بعمولة توهم الضحية انك كسرت الحماية وتفك بثمن رمزي 90% off

توقيع
...........
3 أعضاء قالوا شكراً لـ Dr.Mohamed على المشاركة المفيدة:
أدوات الموضوع
انواع عرض الموضوع


Powered by vBulletin® Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.

:: Security By : Sec4ever Team ::

جميع الحقوق محفوظة الحماية للأبد -Security 4 Ever
Sec4ever by Sec4ever
جميع الحقوق محفوظة الحماية للأبد -Security 4 Ever
Sec4ever by Sec4ever