Conociendo DeathRansom – un ransomware con diversas técnicas de evasión

¿Qué es un ransomware?

Un ransomware es un malware que cifra todos tus archivos y muestra una solicitud de rescate. Este te exige que pagues una cantidad establecida, generalmente en bitcoins (BTC), en un tiempo establecido para descifrar tus archivos, o los eliminará.

Descargo de responsabilidad: Este artículo es con fines educativos, no somos responsables del mal uso que puedas hacer de este ransomware.

¿Cómo funciona el ransomware DeathRansom?

Primero, el script verifica si estás en un sandbox, depurador, vm, etc., e intenta evadirlo. Luego cifra todos los archivos que comienzan con el directorio definido en la línea 60 en deathransom.py.

Posteriormente, descarga el script de solicitud de rescate, deshabilita cmd, taskmanager y las herramientas de registro. Finalmente comienza el contador para eliminar los archivos.

¿Cómo utilizarlo?

Debes instalar los requisitos escribiendo: pip install -r requirements.txt y python3 -m pip install PyQt5.

Debes generar las claves, subir la clave pública en pastebin, copiar el enlace sin formato y cambiar el sitio en la línea 7 en deathransom.py python generate_key.py.

Convierte  time_script.py y main.py (ubicado en la solicitud de rescate) en exe.

Luego transforma el time_script en exe usando pyinstaller en la versión de python2 escribiendo pyinstaller –onefile –windowed <FILE>

Para transformar la solicitud principal de rescate usaremos el pyinstaller en la versión de Python 3 pyinstaller –onefile –windowed main.py

Finalmente debes subir los scripts en cualquier servicio de alojamiento de archivos y cambiar los enlaces en las líneas 28 y 31 en deathransom.py

Así que solo debes convertir deathransom.py en exe usando pyinstaller en la versión python2 y sé feliz.

Técnicas de evasión

  • Anti-Desmontaje

Crea varias variables para intentar dificultar el desmontaje.

  • Anti-depurador

Comprueba si un depurador está activo utilizando la función ctypes: windll.kernel32.IsDebuggerPresent ()

  • Anti-máquina virtual

Comprueba si la mac de la máquina es la misma que la mac vms estándar.

  • Anti-Sandbox

Algunos sandboxes aceleran la ejecución, esta función verifica si no ha ocurrido nada fuera de lo común.

  • Sandbox en proceso

Comprueba si hay algún entorno limitado en los procesos en ejecución

  • Indicador de pantalla

Muestra un mensaje, si el usuario interactúa con la ventana emergente, se ejecutará el malware.

  • Tiempo de inactividad

Descansa un rato y procede. Algunos sandboxes esperan un momento y dejan de funcionar, eso intenta evitarlo.

  • Verificación de clics

Si el usuario no hace clic en la cantidad de veces que sea necesario, el malware no se ejecutará.

  • Verificación del mouse

Si el usuario no mueve el mouse en un tiempo determinado, el malware no se ejecutará.

Demostración de DeathRansom (Video):

Este contenido se encuentra parcialmente protegido

Disponible completamente solo para usuarios con membresía Wiser Elite
Adquiere tu mebresía aquí.

2 comentarios en “Conociendo DeathRansom – un ransomware con diversas técnicas de evasión

  1. Ya lo consegui 🙂

  2. Buenas tardes, buen post, como consigo el codigo fuente para estudiarlo??

Deja un comentario