• Paranoid - курс по анонимности и безопасности в сети от команды codeby. Защита персональных данных, анонимность в сети интернет, настройка виртуальных машин, безопасная передача данных, анти форензика и еще много всего полезного. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Готовимся к кибер-войне. Часть VII (Вымогатели).

PingVinich

Bug hunter
Gold Team
19.03.2017
142
381
#1
Все части

Привет! Последнее время, я заметил, что появляется очень много вредоноснов-вымогателей, а именно подтип шифровальщиков. На страницах многих журналов появляются новости об инцидентах, связанных с вымогателями. О них я вам сегодня и расскажу.

ВНИМАНИЕ: Всё что описано в этой статье попадает под УК РФ. Данная статья не призывает к нарушению УК РФ, а предоставляет информацию для общего развития. Автор не несёт ответственности за ваши действия.

Ransomware - это вредоносное ПО, предназаначенное для вымогательства.

В основном, программы-вымогатели делятся на 3 типа:

  • Шифрование файлов.
После попадания в систему шифруют большую часть файлов, после этого требуют выкуп. Компьютер продолжает находиться в рабочем состоянии, но пользователь не имеет доступа ко многим файлам.

  • Блокировка или генерация помех при работе в системе.
После попадания в систему блокирует её, прописывается в автозагрузку, блокирует диспетчер задач, редактор реестра, возожность удаления программ, иногда даже блокируют клавиатуру (прим. ред.) и требует выкуп.

В этой статье мы обсудим шифровальщики. Поясню несколько вещей; для шифрования мы будем использовать архиваторы, длинна пароля - 64 символа, сгенерирован пароль будет псевдослучайно, возможность восстановления крайне мала (подбор пароля).

Для начала разработаем алгоритм:
1) Начать работу.
2) Найти архиваторы (WinRar или 7-Zip) и сохранить путь до них.
3) Сгенерировать случайную строку в 60 байт.
4) Найти следующий файл по определённым маскам.
5) Заархивировать файл с помощью архиватора со случайным паролем из шага 3.
6) Удалить оригинальный файл безопасным методом (затиранием файла нулями).
7) Это все файлы? Если да, продолжаем. Если нет, прыжок на шаг 4.
8) Потребовать выкуп.
9) Выход.

Сразу говорю, что выкладывать код шифровальщика я не буду, а лишь отвечу на основные вопросы реализации.

1) Как найти архиваторы?
1) Архиваторы можно найти в реестре, а именно в этих ветках:

- 7-zip
HKEY_CLASSES_ROOT\Applications\7zFM.exe\shell\open\command

- WinRar
HKEY_CLASSES_ROOT\WinRar\shell\open\command

2) Как искать файлы и какие?
2) Для поиска файлов есть специальные WinAPI, если быть точнее, то это FindFirstFile и FindNextFile. Следует пропускать 2 папки для поиска, это "." и "..". Искать файлы можно по этим маскам:
- *.jpg
- *.png
- *.jpeg
- *.mp3
- *.avi
- *.mp4
- *.doc
- *.docx
- *.rtf
- *.docm
- ... И так далее ...

3)Как затереть оригинальный файл нулями?
3) Для этого нужно открыть целевой файл, пепеписать его нулями и закрыть его.

Ну, на этом всё. Спасибо за внимание.
 

Juice

Active member
06.04.2017
30
5
#2
Для того, что бы не искать установленный 7зэ или рар, можно и у себя в ресурсах похранить консольный экзешник. Благо речь о килобайтах всего лишь.
 
Вверх Снизу