RansomLord – это инструмент с открытым исходным кодом, автоматизирующий создание PE-файлов, которые используются для защиты от программ-вымогателей до шифрования данных.
Разработчик RansomLord, известный под псевдонимом hyp3rlinx, пояснил: “Я создал RansomLord, чтобы показать, что программы-вымогатели не являются неуязвимыми, у них есть слабые места, а их разработчики допускают ошибки и могут писать плохой код, как и все остальные”.
Основные особенности инструмента:
- Использует тактики DLL-подмены, которые часто применяются киберпреступниками.
- Применяет эксплойты для защиты сети. Это новая стратегия для борьбы с программами-вымогателями. Первое публичное раскрытие: Lockbit MVID-2022-0572.
- Инструмент для выявления уязвимостей в вредоносных программах. Флаг -m отображает угрозы на уязвимые DLL-файлы, что позволяет нацеливаться на конкретные угрозы, которые могут быть опасны для вашей организации или отрасли.
- Ориентирован на инструменты программ-вымогателей для выявления их недостатков, что может вынудить злоумышленников переписывать код для устранения уязвимостей.
- Экономит время и усилия, заполняя пробелы в знаниях, необходимые для создания PE-файлов для защиты от программ-вымогателей.
- Раскрывает двенадцать DLL-файлов для защиты от 49 семейств программ-вымогателей. Один файл cryptsp.dll может защитить от пятнадцати различных программ-вымогателей, таких как Yanluowang, Conti, LokiLocker, BlueSky, Haron, Thanos, AvosLocker, Meow, BabukLocker, Cerber, Clop, Play, LockerGoga, Jaff и RuRansom.
- Использует высокую уязвимость вредоносных программ к этой атаке. Трояны и программы для кражи информации также могут быть нейтрализованы, например, Emotet MVID-2024-0684.
RansomLord доступен бесплатно на GitHub.
Public Release.