Analizamos el código fuente de un ransomware escrito en Python bajo el nombre de detección: Python/Filecoder.AX. Esta variante, que ya no está activa, sí lo estuvo durante los años 2017 y 2018 y fue distribuida empaquetada en un ejecutable .exe mediante PyInstaller.[...] Una vez obtenido el código fuente nos encontraremos con muchas funciones y variables que deberemos ir leyendo detenidamente para poder comprender las actividades maliciosas realizadas.
|
etiquetas: ransomware , código fuente , analisis
En Telefónica entró uno de esos gusanos y cifró un montón de equipos.
Y veo un fallo en que no codifique los archivos sin extensión. Muchos programas es justamente donde almacenan los datos.
Pero la verdad es que estaría bien un poco más de contexto y saber cómo se distribuía, ya que al ser un Python compilado, pequeño no debía ser.
Por otra parte no incluye ninguna técnica evasiva, no creo que tardasen mucho en ficharlo los antivírus.
Con el código pasa lo mismo. Puede que entiendas lo que lees de manera individual, pero el conjunto del código no tiene por qué ser simple.
Si sabes lo que es una función, un hilo y como salta el código de una parte a otra puedes seguir la lógica de cualquier código.
En este caso por ejemplo la función run_crypt será la que tenga toda la chicha de encriptación y será tan fácil o difícil de leer según cuanto conozcas de código y en este caso de matemáticas y números primos muy grandes que es lo que intuyo que hay en esa función run_crypt
No voy a discutir más contigo. Cree y entiende lo que quieras.
Los tiempos han cambiado y creo que ahora no es tan sencillo programar vectores de infección (hace ya mucho que dejé todo este tinglado), con lo que coincido contigo, lo chulo sería haber explicado ése módulo y no el de cifrar archivos, que es trivial.
Que querías que fuera ensamblador?
El linux aunque los programas pueden acceder a /tmp pero solo pueden manipular sus propios fichero y no los de otros programas.
El programa podria acceder sus configuraciones para leerlas y modificarlas.
Si quiere guardar un fichero se lo indica a una iibreria, como la que muestra la ventana de elegir la ubicacion o su version de consola, etc. Asi solo habria que asegurar esa libreria que vale para todos los programas y les deja una operacion limitada en el HD.
Los programas tambien podiran llamar un backup, de forma que los archivos puedan quedar fuera de su alcance aunque esten en su propia particion. No podria borrarlos, ni sobreescribirlos.
Todo eso limitaria los daños que podria provocar un programa loco y tendria que encontrar alguna vulneravilidad.
No se si hay algun sistema que lo hace, lo mas parecido el sistema de permisos de android que luego no vale para nada porque los programas te piden permiso para todo.
Real programmers dont' use comments. The code is self-explaining.
Na en serio, pero ¿Un lenguaje interpretado? Que triste.
Edit: la versión home es gratuita y no te agobian, nunca, con publicidad.