Apolyze.Ransom | FUD CipherShift Ransomware | Coded in C++

execnone

Katılımcı Üye
19 Tem 2022
352
172
Herkese iyi akşamlar. Bugün sizlere C++ ile kodlamış olduğum ransomware türündeki zararlı yazılımını tanıtacağım.

Ransomware nedir?

Ransomware kelimesi "ransom" ve "malware" kelimelerinden gelmektedir.
Bu tür virüsler, bilgisayarınızdaki dosyaları şifreler ve şifrelemeyi çözmek için sizden fidye talep ederler.
En çok bilinen fidye virüslerinden bir tanesi
WannaCry'dır
Şifreleme
Bu virüs şifreleme olarak CipherShift şifreleme yöntemini kullanıyor. Peki nedir bu CipherShift?
CipherShift şifrelemesi, bir karakterin ASCII tablosu üzerindeki karşılığı ile oynama yapar.
Örneğin elimizde 'a' karakteri var. Bu karakterin ASCII tablosundaki değeri 97'dir. CipherShift ile bunu 5 kez öteleyelim. 97 + 5 = 102
102. değere denk gelen karakterimiz ise 'f' harfi oluyor. Bu şekilde karakterlerin ötelenmesi ile basit şifrelemeler yapılabilir.


Apolyze.Ransom

"Bu yazılım, tamamen test amaçlı yapıldığı için herhangi bir fidye istememektedir."

Öncelikle, programın çalışma mantığını açıklayalım. Bu program, kendi içerisinde bir anahtar (key) ile çalışmaktadır.
Bu anahtar, yazılım içerisinde byte veri türünde tutulmaktadır. Bu sayede anahtarı elde etmek isteyen birisi, statik analiz ile bu anahtarı elde edemeyecektir.
Daha sonra program, byte türünde olan bu anahtarı kendi içerisinde çözümleyerek bir 'string' veri elde eder.
Bu string veri ise bir algoritma ile üzerinde oynamalar yapılarak bir "integer" değere döndürülür. Bu "integer" değer, CipherShift şifrelemesinde kullanacağımız öteleme miktarını belirtecektir.
Bu sayede, anahtar güncel olarak kişiye göre değiştirilip, farklı öteleme miktarları elde edilebilir.
İsterseniz programın testine geçelim. Hedef makinemiz Windows 8.1 x64.





Bu şekilde bir test klasörü hazırladım. Programımızı kullanarak içerisindeki dosyaları şifreleyip kullanılamaz hale getireceğiz.







Virüsümüz sağdaki yürütülebilir dosya. 3.98 MB boyuta sahip.







Çalıştırıyorum ve milisaniyeler içerisinde bulunduğu dizin, masaüstü, belgeler, indirlenler ve resimler klasörlerindeki dosyaları şifreleyip ".apocalyptic" uzantısına dönüştürüyor.







Gördüğünüz gibi bütün dosyalar .apocalyptic uzantısına sahip. Ve hiçbiri açılmıyor. Hepsinin içeriği şifrelenmiş durumda.







Elbette ki bu virüsün bir de decryptor'u var. Yani şifrelenmiş dosyaların şifresini çözmeye sağlayan yazılım diyebiliriz. Onu da gösterelim:







Sol tarafta bulunan yürütülebilir dosyamız virüsümüzün decryptor'udur.







Decryptor için fazla vakit harcamadım. O yüzden bir arayüze sahip değil ve antivirüsler tarafından algılanıyor. 929 KB boyuta sahip.
Şifrelemede kullandığımız anahtar'ı giriyoruz. Daha sonra program ".apocalyptic" uzantılı dosyaları bulup şifrelerini çözecektir.







Gördüğünüz gibi şifrenin girilmesinin ardından tüm dosyaların şifresi çözüldü. Ve kullanılabilir haldeler.







$ FUD KANIT $





Apolyze Ransomware



Programın kaynak kodunu, VT linkini ve release versiyonunu (yürütülebilir halini) paylaşmayacağım. Konu tanıtım için açılmıştır

 

Napcaz

Anka Team Senior
28 Nis 2019
759
734
Cudi
Sezar şifreleme ile değilde RSA kullanman çok daha mantıklı olur enazından ransomware in ciddliyet kazanır. Öbür türlü şifreyi bilmeden bile saniyeler içerisinde anahtar bulunur. Şimdi bunun bir tanıtım konusu olduğunu ve ciddli düşünmediğini o yüzden sistemini basit tuttuğunu tarzında şeyler yazma bana çünkü bu beni cidden çileden çıkarıyor. Ayrıca kaynak kodunu paylaşmamana ayar oldum, ayarlarım bozuldu.
 

execnone

Katılımcı Üye
19 Tem 2022
352
172
Sezar şifreleme ile değilde RSA kullanman çok daha mantıklı olur enazından ransomware in ciddliyet kazanır. Öbür türlü şifreyi bilmeden bile saniyeler içerisinde anahtar bulunur. Şimdi bunun bir tanıtım konusu olduğunu ve ciddli düşünmediğini o yüzden sistemini basit tuttuğunu tarzında şeyler yazma bana çünkü bu beni cidden çileden çıkarıyor. Ayrıca kaynak kodunu paylaşmamana ayar oldum, ayarlarım bozuldu.
şifreleme konusunda evet güncellenmesi gerekiyor. tekrar söylüyorum bu ransomware'ı yalnızca kendimi geliştirmek için yaptım. sezar ile yapabileceğimin en iyisini yapmaya çalıştım. ilerleyen zamanlarda elbet güncellenir.

kaynak kodunu paylaşmamamın sebebi ise açık kaynak kodlu olarak paylaşılan zararlı yazılımların bile suç teşkil ettiğini biliyorum. alt tarafı kendimi geliştirmek için yazılım yapayım derken mahkeme karşısına çıkmak istemem.

Kaynak kodunu görünce daha çok beğeneceğiz gibi görünüyor eline sağlık
teşekkür ederim. kaynak kod konusu dediğim insanlar öğrenmesin kopyalamasın vs. gibi birşey değil. daha önce yazdığım botnet konusundada bundan bahsettim. açık kaynak kodlu paylaşılan yazılımlar bile suç teşkil ediyor ve bu yüzden mahkeme karşısına çıkan insanlar var. risk almak istemedim.
 
Moderatör tarafında düzenlendi:

Maveraün Nehr

Katılımcı Üye
25 Haz 2021
973
1,850
41.303921, -81.901693
Sezar şifreleme ile değilde RSA kullanman çok daha mantıklı olur enazından ransomware in ciddliyet kazanır. Öbür türlü şifreyi bilmeden bile saniyeler içerisinde anahtar bulunur. Şimdi bunun bir tanıtım konusu olduğunu ve ciddli düşünmediğini o yüzden sistemini basit tuttuğunu tarzında şeyler yazma bana çünkü bu beni cidden çileden çıkarıyor. Ayrıca kaynak kodunu paylaşmamana ayar oldum, ayarlarım bozuldu.
RSA olunca key bulunmuyor mu?
 

Napcaz

Anka Team Senior
28 Nis 2019
759
734
Cudi
RSA olunca key bulunmuyor mu?
Virüs ü yayınlayan kişiler private key i paylaşmassa -doğru bir algoritma kullanıldığını varsayıyorum-, teorik olarak kimse şifrelenen veriyi çözemez. Anahtardan kastınız private key se, onuda bulamazlar zaten yapabilselerdi şuan çoğu olayın (https gibi) "güvenliliğinden" söz edemezdik. Ki sizin bunları zaten bildiğinizi düşünüyorum. Kast ettiğiniz şey nedir?
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.