Discussione Malware prototipo di ransomware

[sn1tch]

sembra che sia stato creato più da un lamerino.

mi hai offeso, comunque era solo per chiedere un parere e per migliorare

 

[hck2009]

mi hai offeso, comunque era solo per chiedere un parere e per migliorare

ok, sorry me... comunque e carino, ma non può entrare nel campo di ransomware...però il fatto di non criptare i file è la scelta migliore, se tipo un ransomware criptasse i file (documenti importanti) potresti far suicidare uno....non sarebbe una cosa bella da fare, se uno soffrisse di cuore x.x

 

[Hastro]

non credo proprio: un runtime crypter codifica lo stub sia dalla parte del codice sia in memoria, rendendo impossibile all'antivirus leggere il malware sia prima sia dopo l'esecuzione

esattamente questo il problema. L'obfuscation, solitamente, viene rilevata come malware

Messaggio unito automaticamente: 8 Gennaio 2020

in realtà non viene rilevato dato che non fa danni, spiegato in parole semplici, mette una specie di blocco schermo che non ti permette di fare nulla, non cripta i file.
ho testato giusto qualche minuto fa e va tutto alla grande, il buon vecchio avast dice che è tutto a posto

Tuttavia, ha ragione, questa è la scan --> https://www.virustotal.com/gui/file...6ed8b02fbefaba17bf21487a1423a7b97e6/detection

Messaggio unito automaticamente: 8 Gennaio 2020

 

[sn1tch]

esattamente questo il problema. L'obfuscation, solitamente, viene rilevata come malware

Messaggio unito automaticamente: 8 Gennaio 2020

Tuttavia, ha ragione, questa è la scan --> https://www.virustotal.com/gui/file...6ed8b02fbefaba17bf21487a1423a7b97e6/detection

Messaggio unito automaticamente: 8 Gennaio 2020

Visualizza allegato 39879

devi dividere i pezzi di codice:
la prima parte (quella prima dei tre spazi) va salvata su un file chiamato 1.vbs
la seconda parte (quella dopo i tre spazi) va salvata su un file chiamato 2.vbs
poi crei un file txt vuoto e lo chiami POOP
fatto ciò, avvia 1.vbs

 

[Hastro]

devi dividere i pezzi di codice:
la prima parte (quella prima dei tre spazi) va salvata su un file chiamato 1.vbs
la seconda parte (quella dopo i tre spazi) va salvata su un file chiamato 2.vbs
poi crei un file txt vuoto e lo chiami POOP
fatto ciò, avvia 1.vbs

Ho fatto qualche test, ma forse c'è qualche errore/ ho fatto qualche errore io ....

 

[sn1tch]

Ho fatto qualche test, ma forse c'è qualche errore/ ho fatto qualche errore io ....

mhm... fammi ricontrollare un secondo

Messaggio unito automaticamente: 8 Gennaio 2020

mhm... fammi ricontrollare un secondo

prova a rendere visibili le estensioni, il codice è corretto

 

[Hastro]

mhm... fammi ricontrollare un secondo

Messaggio unito automaticamente: 8 Gennaio 2020

prova a rendere visibili le estensioni, il codice è corretto

Nulla da fare, il codice sembra errato. anche attivando le estensioni non parte

 

[hck2009]

Per caso hai pubblicato il codice su Pastebin? O un tuo amico?

https://pastebin.com/3jPdvBUu

Altrimenti qualcuno lo ha giù pubblicato x.x

Ah c'è pure un'altro Pastebin:

https://pastebin.com/28DTQF5M

 

[sn1tch]

Per caso hai pubblicato il codice su Pastebin? O un tuo amico?

il primo lo ha fatto un mio amico, il secondo è mio

 

[Chiara01]

Un runtime crypter è un crypter normalissimo.
Metti una sezione di codice che viene virtualizzata ed eseguita successivamente, oppure injectata in qualche altro processo. Insomma funzionano così i crypter

E un ransomware crypted in questo modo viene bloccato

Scusi potrei contattarla in privato?

Messaggio unito automaticamente: 4 Ottobre 2023

Lol si vede che sei nuovo nel settore, purtroppo non basta un crypter(aka packer) , magari superi l’euristica e ottieni qualcosa di fud, ma L’engine di quasi tutti gli Av te lo rilevano.

Scusi potrei contattarla in privato?