RansomLord: Инструмент для защиты от программ-вымогателей
RansomLord — это экспериментальный инструмент защиты от атак программ-вымогателей, который автоматизирует создание PE-файлов, используемых для взлома предварительного шифрования программ-вымогателей.
С последним обновлением RansomLord теперь может перехватывать и завершать работу программ-вымогателей, протестированных из 49 различных групп угроз. А так же:
- Добавлены StopCrypt, RisePro, RuRansom, MoneyMessage, CryptoFortress и Onyx в список целей.
- Флаг -e для журнала событий Windows попытается записать SHA256-хэш вымогательского ПО.
- Добавлен флаг -r для вывода правила Sigma, позволяющего обнаружить активность RansomLord через журнал событий Windows.
Флаг -g выводит список программ-вымогателей, подлежащих эксплуатации, на основе выбранной группы программ-вымогателей. Он создает 32- или 64-битную DLL, названную в соответствии с выбранной семьей.
Логика созданного DLL-эксплойта проста: мы проверяем, является ли текущая директория `C:\Windows\System32`. Если нет, мы получаем наш собственный идентификатор процесса (PID) и завершаем выполнение как себя, так и вредоносного ПО до начала шифрования, поскольку мы теперь контролируем поток выполнения кода.
Флаг -e настраивает собственный источник событий Windows в реестре Windows. События записываются в "Windows Logs\Application" как событие с ID 1 от "RansomLord". Имя вредоносной программы и полный путь к процессу также включены в общую информацию. Флаг -e для журнала событий Windows теперь будет записывать SHA256-хэш программы-вымогателя.
Флаг -m выводит группы программ-вымогателей, требуемую DLL и архитектуру (x32 или 64-бит).
Флаг -t выводит список старых предупреждений о программах-вымогателях за 2022 год с идентификатором уязвимости вредоносного ПО.