Ransomware là một dạng virus khi bị lây nhiễm vào máy tính sẽ mã hóa tất cả dữ liệu của nạn nhân, sau đó sẽ hiện thông báo đòi tiền chuộc. AnonyViet tìm được một tool có tên là RAASNet, giúp tạo ra Ransomware bằng python và có cả giao diện để thiết lập, quản lý. Trong bài này chúng ta sẽ tìm hiểu cách tạo Ransomware, cũng như giải mã các file đã bị mã hóa.
RAASNet và bài viết này chỉ dành cho nghiên cứu. Không được sử dụng trong thế giới ngoài đời thật. Tôi không chịu trách nhiệm về bất kỳ thiệt hại nào bạn có thể gây ra với kiến thức của bài viết này.
Để an toàn cho dữ liệu, bạn nên thực nghiệm bài này trên VMWare (Kali linux, Windows).
RAASNet có tác dụng gì?
RAASNet là một công cụ bằng python giúp bạn tạo ra Ransomeware theo ý muốn, bạn có thể chọn các mã hóa file, nội dung thông báo đến nạn nhân và key giải mã. Đặc điểm:
- Tạo ransomware
- Tùy chỉnh giao diện cho ransomeware
- FUD (bypass antivirus)
- Hoạt động trên Windows, MacOS và Linux
- Mã hóa siêu nhanh với PyCrypto
- Có thể biên dịch sang EXE, APP hoặc Unix/Linux
- Tùy chỉnh icon cho exe
- Tạo key mã hóa/giải mã
- Chế độ demo (ransomeware sẽ không mã hóa bất kỳ thứ gì)
- Chế độ toàn màn hình (Cảnh báo chiếm toàn màn hình)
- Thông báo cảnh báo tùy chỉnh cho nạn nhân của bạn
- Chế độ ma (Ghostmod) (Đổi tên bằng cách thêm phần mở rộng .DEMON thay vì mã hóa các tệp)
- Nhiều phương pháp mã hóa
- Tùy chọn nhiều loại file để mã hóa
- Quyết định xem ransomeware có nên tự hủy (chỉ tính năng ở chế độ Bảng điều khiển)
- Quyết định ổ đĩa nào để nhắm mục tiêu để mã hóa (thư mục làm việc)
- Quyền truy cập máy chủ đã xác minh thông qua VPN chuyển tiếp cổng
Cách sử dụng RAASNet tạo Ransomeware
Tạo Server Linux
Trên Kali linux, tiến hành tải bộ Source RAASNET về bằng cách thực hiện các lệnh dưới đây
git clone https://github.com/leonv024/RAASNet.git cd RAASNet pip3 install -r requirements.txt python3 RAASNet.py
Hoặc tải link dự phòng tại: Download RAASNET (Password: anonyviet.com)
Sau khi hoàn tất các bước, bạn sẽ thấy giao diện đăng nhập của RAASNET, click vào Register để tạo tài khoản quản lý và tiến hành đăng nhập nhé.
Bây giờ bạn sẽ thấy giao diện RAASNET Generator, với 4 chức năng gồm:
- START SERVER:
- DECRYPT FILES: tạo file giải mã file cho nạn nhân
- GENERATE PAYLOADS: tạo Ransomware
- COMPILE PAYLOAD: biên dịch Ransomware sang exe.
- PROFILE: thông tin tài khoản
- EXIT: thoát
Bây giờ chúng ta vào START SERVER: nhập IP của máy chủ quản lý, trong trường hợp này là máy Kali linux của mình (mở terminal gõ lệnh ifconfig để xem IP),
Sau đó chọn tiếp GENERATE PAYLOADS, để thiếp lâp các hoạt động cho Ransomeware của bạn.
- Mode: chế độ hiển thị của virus
- Remote Server: IP của Server (trong bài này là IP của Kali linux)
- Encryption Type: chế độ mã hóa file, trong đó chế độ Ghost là an toàn nhất, chỉ đổi đuôi file chứ không mã hóa dữ liệu. Bạn khuyên các bạn nên dùng chế độ này để test.
- Content: chỉnh sửa thêm thông báo, hình ảnh hiển thị khi nạn nhân kích hoạt virus.
Sau khi thiết lập xong, bạn nhấn Generate để bắt đầu tạo Ransomware cho riêng bạn.
Bây giờ trong thư mục RAASNet sẽ có 2 file là:
- payload.py: đây chính là con Ransomware bạn mới tạo ra
- decryptor.py: đây là tool để giải mã dữ liệu khi virus đã mã hóa
Nếu bạn muốn chuyển file .py sang .exe (bạn phải chạy RAASNet trên Windows) sau đó vào Menu COMPILE PAYLOAD, biên dịch xong, file sẽ nằm trong thư mục RAASNet/dish
Thực nghiệm trên Windows
Bài viết này chỉ thực nghiệm, nên mình không biên dịch file payload.py sang exe mà chạy bằng python luôn cho đỡ tốn thời gian.
Trên Windows, cài Python 3.x.
Mở notepad tạo file requirements.txt với nội dung:
numpy==1.19.3
pymsgbox
pyaes
pycryptodome
pyinstaller
requests
python-geoip-python3
python-geoip-geolite2
pillow
Mở CMD gõ lệnh
pip install -r requirements.txt
Trong thực tế khi biên dịch py sang exe thì các thư viện này đã có sẵn, chúng ta sẽ không phải thực hiện các bước trên.
Bây giờ hãy thử copy con ransomware vừa tạo vào máy ảo Windows. dùng lệnh: python payload.py để kích hoạt, bùm, dữ liệu của bạn sẽ bị mã hóa sang đuôi DEMON.
Nếu muốn giải mã, bạn copy file decryptor.py vào máy ảo Windows và gõ lệnh, python decryptor.py, dữ liệu sẽ được khôi phục lại như cũ
Lưu ý
Bài viết này chứng minh ransomware hiện nay khá nguy hiểm và không bị antivirus phát hiện. Ransomware được tạo ra hoạt động trên Windows, Linux và MacOS. Bạn nên biên dịch payload.py thành EXE để dễ demo trên WIndows.
Nếu muốn thử nghiệm Server môi trường Internet, bạn nên dùng VPN hoặc NAT Port . Hoặc tốt hơn nên thuê 1 VPS ở Azure hoặc AWS để thử nghiệm.
Cuối cùng xin nhắc lại, bài này để nghiên cứu học tập, không được áp dụng môi trường bên ngoài và với người khác. Nếu không bạn sẽ chịu trách nhiệm trước pháp luật.
