Conociendo DeathRansom – un ransomware con diversas técnicas de evasión
¿Qué es un ransomware?
Un ransomware es un malware que cifra todos tus archivos y muestra una solicitud de rescate. Este te exige que pagues una cantidad establecida, generalmente en bitcoins (BTC), en un tiempo establecido para descifrar tus archivos, o los eliminará.
Descargo de responsabilidad: Este artículo es con fines educativos, no somos responsables del mal uso que puedas hacer de este ransomware.
¿Cómo funciona el ransomware DeathRansom?
Primero, el script verifica si estás en un sandbox, depurador, vm, etc., e intenta evadirlo. Luego cifra todos los archivos que comienzan con el directorio definido en la línea 60 en deathransom.py.
Posteriormente, descarga el script de solicitud de rescate, deshabilita cmd, taskmanager y las herramientas de registro. Finalmente comienza el contador para eliminar los archivos.
¿Cómo utilizarlo?
Debes instalar los requisitos escribiendo: pip install -r requirements.txt y python3 -m pip install PyQt5.
Debes generar las claves, subir la clave pública en pastebin, copiar el enlace sin formato y cambiar el sitio en la línea 7 en deathransom.py python generate_key.py.
Convierte time_script.py y main.py (ubicado en la solicitud de rescate) en exe.
Luego transforma el time_script en exe usando pyinstaller en la versión de python2 escribiendo pyinstaller –onefile –windowed <FILE>
Para transformar la solicitud principal de rescate usaremos el pyinstaller en la versión de Python 3 pyinstaller –onefile –windowed main.py
Finalmente debes subir los scripts en cualquier servicio de alojamiento de archivos y cambiar los enlaces en las líneas 28 y 31 en deathransom.py
Así que solo debes convertir deathransom.py en exe usando pyinstaller en la versión python2 y sé feliz.
Técnicas de evasión
- Anti-Desmontaje
Crea varias variables para intentar dificultar el desmontaje.
- Anti-depurador
Comprueba si un depurador está activo utilizando la función ctypes: windll.kernel32.IsDebuggerPresent ()
- Anti-máquina virtual
Comprueba si la mac de la máquina es la misma que la mac vms estándar.
- Anti-Sandbox
Algunos sandboxes aceleran la ejecución, esta función verifica si no ha ocurrido nada fuera de lo común.
- Sandbox en proceso
Comprueba si hay algún entorno limitado en los procesos en ejecución
- Indicador de pantalla
Muestra un mensaje, si el usuario interactúa con la ventana emergente, se ejecutará el malware.
- Tiempo de inactividad
Descansa un rato y procede. Algunos sandboxes esperan un momento y dejan de funcionar, eso intenta evitarlo.
- Verificación de clics
Si el usuario no hace clic en la cantidad de veces que sea necesario, el malware no se ejecutará.
- Verificación del mouse
Si el usuario no mueve el mouse en un tiempo determinado, el malware no se ejecutará.
Ya lo consegui 🙂
Buenas tardes, buen post, como consigo el codigo fuente para estudiarlo??