Este script, desarrollado en Python, actúa como un sencillo prototipo de malware que facilita el acceso remoto vía SSH. La funcionalidad principal del malware incluye leer claves públicas RSA de un archivo llamado ".authorized.txt" y escribirlas en el archivo "authorized_keys" del sistema de la víctima. Esto permite el acceso no autorizado al sistema comprometido sin necesidad de autenticación de contraseña.
Además, el malware envía una solicitud HTTP a un servidor preconfigurado. Esta solicitud está diseñada para transmitir información crítica desde el sistema comprometido, como el nombre de usuario de la consola y la dirección IP de la víctima. Es importante tener en cuenta que la dirección del servidor de destino se puede modificar directamente desde el código fuente del malware, mientras que la clave pública RSA debe editarse y configurarse en el archivo ".authorized.txt".
Nota para principiantes: para implementar correctamente este script, es necesario ingresar la clave pública RSA apropiada en el archivo ".authorized.txt", que luego se copiará en el archivo "authorized_keys" del sistema de destino para establecer el acceso.
DarkCrypt es el script de personalización del ransomware, este escript te pedira diferentes parametros para editar y ensamblar el malware a tu gusto
[1] Descripcion => Descripcion del ransomware, generalmente incluye informacion de contacto o alguna nota para la victima
[2] Nombre de la app => El nombre de la applicacion maliciosa al momento de crear el ejecutable (Presiona enter si no deseas crear un ejecutable)
[3] Icono de la app => De la misma forma, es opcional solo si deseas crear un ejecutable (-EXE), si asi lo deseas, ingresa la ruta del archivo, preferiblemente en formato ICO o PNG
[!] Para el ransomware con reverse shell, se pide el host de acceso remoto, y el puerto de conexion
[4] Validacion de host => Esta opcion es por si deseas validar un host para enviar la clave de desencriptado a un servidor externo, con el fin de recuperar los archivos
[5] Host externo => Solo si lo anterior es afirmativo, se pedira el dominio http a donde se enviara la clave de desencriptado, para ello el archivo key.php debera estar en la misma ubicacion del servidor, ya que el mismo archivo es el encargado de la captura y almacenamiento de la llave (En caso de que el servidor de una respuesta diferente de 200, el programa no se ejecutara)
[6] Clave de 32 bytes => Funciona para aplicar una capa de "privacidad" al malware, haciendolo menos propenso a ser detectado por motores antivirus, ya que este mismo debera ser ejecutado por el mismo usuario
Se nota claramente como la mayor parte de los motores antivirus lograron detectarlo, 45 de 73 antivirus lo marcaron como malicioso o potencialmente malicioso
Se nota una gran disminucion de detecciones, tan solo 5 de 73 antivirus lograron detectarlo
VirusTotal (Sin evasión) =Z> Reporte sin evasión
VirusTotal (Con evasión) =Z> Reporte con evasión
Reporte de Triage =Z> Reporte
Link del testeo => Testeo en VM
c7e790b2-6d69-486e-a042-08d32cf1e009.mp4
Como creador de este script, me gustaría dejar claro que no me hago responsable de su uso indebido.
Este script ha sido desarrollado con fines educativos y de investigación,
y cualquier mal uso que se haga del mismo será castigado penalmente de acuerdo con las leyes y regulaciones vigentes.
Es responsabilidad del usuario utilizar esta herramienta de manera ética y legal.
Recuerda siempre actuar dentro de los límites establecidos por la ley y respetar la privacidad y seguridad de los demás.
I would greatly appreciate it if you could inform me of any errors in the program or possible improvements in my social media:
