Crean el primer Ramsonware para Linux

ransomware-epidemia-soluciones

Crean el primer ramsonware para Linux, con fines educativos, es decir, viene tanto el malware como su vacuna para poder revertir todos los cambios. El nombre de este ramsonware es CryptoTrooper.


Para que funcione, es necesario tener:

– Un SO de 32/64 bits basado en Debian con privilegios de root
– Apache/Nginx – para el cifrado de servicios web y para cambiar la página principal
– MySQL/PostgreSQL – para el cifrado de base de datos
– / y /home – para el cifrado de los datos personales, excepto el directorio .ssh


¿Cómo funciona?

  • Se infecta la máquina de la víctima y obtiene privilegios de root
  • CryptoTrooper cifra todo lo que hay en la PC
  • Protege la clave para descifrar los archivos afectados
  • Para descifrar, la víctima le envía al atacante un IV que junto con la clave maestra pueden descifrar todo el contenido de la máquina

Pros:

  • No requiere conexión a internet después de la infección
  • La key maestra ubicada en la PC infectada, está bien protegida
  • Solo utiliza AES
  • Es anti forense
  • Tiene un generador de llaves aleatorios
  • Tiene un generador de IVs aleatorio

Contras:

  • El algoritmo para generar la llave maestra ya fue rota, por lo que este malware no es una amenaza para fines maliciosos.
  • Tiene una clave de 128 bits. Debería ser mas larga
  • Se usa la misma clave para cifrar todos los archivos

Propósitos:

Fue creada con la finalidad de demostrar el poder de los ransomwares, estudiar criptografía y practicar la ingeniería inversa.

Para preparar el entorno de pruebas, hay que seguir los siguientes pasos:


Preparando el entorno:


Preparando el ransomware

– cifrar

Esto cifrará los datos con AES-128-CBC con una clave generada aleatoriamente e IVs aleatorios para cada archivo. Luego se usará white-box para cifrar la clave de una sola dirección y generar los archivos key.enc y key.iv.

La víctima ahora tiene que enviar dos archivos al atacante

Si visita el sitio web local, se obtendrá el mensaje


Después del pago

Descifrará la clave de la víctima para enviársela


Para descrifrar:

Después de esto, todo vuelve como antes.

Descarga Github: https://github.com/cryptolok/CryptoTrooper

Creditos: caffeine

Posts Relacionados

Share on:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *