lunes, 30 de noviembre de 2020

Baphomet ransomware

 

Esta es una prueba de concepto de cómo funciona un ransomware y algunas técnicas que solemos usar para secuestrar nuestros archivos. Este proyecto está escrito en C # utilizando el framework de aplicaciones net-core 3.1. La idea principal del código es hacerlo lo más legible posible para que la gente tenga una idea de cómo actúa y funciona este tipo de malware.

Características de Baphomet

  • Algoritmo AES para cifrado de archivos.
  • Cifrado RSA para cifrar la clave.
  • Propagación automática a través de USB.
  • Técnica de cifrado híbrido.
  • Enumeración de procesos para matar a los seleccionados.
  • Prueba de conexión a Internet.
  • envíos de información de la víctima (IP pública, nombre de dominio, país, versión del sistema operativo, ciudad, nombre de la máquina, etc.).
  • Programa para descifrar la clave de cifrado.
  • Programa para descifrar datos cifrados.
  • Lista de nombres de host para enviar los datos de la víctima (redundancia).
  • No se detecta en los programas antivirus (Fecha: 30/11/2020 12:25 pm).
  • Codifique la imagen en base64 para cambiar el fondo de pantalla (imagen de Baphomet).

Configuraciones dinámicas

  • Lista de directorios por los que queremos navegar.
  • Lista de extensiones válidas.
  • Lista de hosts a los que enviaremos los datos.
  • Lista de procesos que queremos detener en caso de que se estén ejecutando.
  • Métodos para convertir base64 a una imagen o descargar la imagen desde una url.
  • clave pública que será hardcode para cifrar la clave simétrica.

Matrices personalizadas y var

  • Directorios que queremos cifrar> archivo: Program.cs línea: 25
  • Extensiones válidas para cifrar> archivo: /Utilities/Crypt.cs línea: 31
  • Procesos que queremos detener> archivo: /Utilities/Diagnostics.cs línea: 18
  • (RSA) Clave pública que cifra la clave simétrica> archivo: /Utilities/CryptRSA.cs línea: 14
  • Nombres de host donde recibiremos los datos de vicma> archivo: /Utilities/NetInfo.cs línea: 65

Proyectos

  • Baphomet = proyecto para cifrar archivos.
  • BpahometDecrypt = proyecto para descifrar archivos.
  • rsa = aquí generamos claves rsa para encriptar la clave simétrica con la que encriptamos los archivos, también desencriptamos la clave simétrica que se genera en la víctima.

Prueba de depuración

Texto alternativo

cuenta de twitter: @ Chungo_0

Video de Youtube: Aquí

Fuente: Sh4rk0-666/Baphomet

No olvides Compartir...  

Siguenos en twitter: @disoftin - @fredyavila

No hay comentarios:

Publicar un comentario

Más leídas este mes