QuickBuck:一款專為安全研究人員設(shè)計(jì)的勒索軟件模擬器

發(fā)布時(shí)間 2022-06-23

關(guān)于QuickBuck

QuickBuck是一款基于Golang開(kāi)發(fā)的勒索軟件模擬工具,在該工具的幫助下,廣大研究人員可以通過(guò)更簡(jiǎn)單的方法來(lái)判斷反病毒保護(hù)方案是否能夠有效地預(yù)防勒索軟件的攻擊。

功能介紹

該工具能夠模擬下列勒索軟件典型行為,其中包括:

Word文檔惡意宏文件(Staging)

刪除卷影拷貝

加密文檔

向用戶桌面發(fā)送勒索信息

QuickBuck勒索軟件模擬器并不會(huì)對(duì)目標(biāo)設(shè)備上之前已經(jīng)存在的任何文件進(jìn)行實(shí)際的加密,或者刪除卷影拷貝文件。當(dāng)然了,這種類型的操作行為是可以觸發(fā)反病毒產(chǎn)品的防御機(jī)制的。

除此之外,我們還可以通過(guò)命令行參數(shù)的形式嚴(yán)格控制上述的每一步操作。與此同時(shí),我們還可以清楚地查看到每一步操作的響應(yīng)信息。

工具下載

廣大研究人員可以使用下列命令將該項(xiàng)目源碼克隆至本地:

git clone https://github.com/NextronSystems/ransomware-simulator.git

工具使用

Ransomware Simulator

 

Usage:

ransomware-simulator [command]

 

Examples:

ransomware-simulator run

 

Available Commands:

help        顯示工具幫助信息

run         運(yùn)行勒索軟件模擬器

 

Flags:

-h, --help   顯示QuickBuck幫助信息

 

Use "ransomware-simulator [command] --help" for more information about a command.

工具使用

Run Ransomware Simulator

 

Usage:

ransomware-simulator run [flags]

 

Flags:

    --dir string                     Directory where files that will be encrypted should be staged (default "./encrypted-files")

    --disable-file-encryption        Don't simulate document encryption

    --disable-macro-simulation       Don't simulate start from a macro by building the following process chain: winword.exe -> cmd.exe -> ransomware-simulator.exe

    --disable-note-drop              Don't drop pseudo ransomware note

    --disable-shadow-copy-deletion   Don't simulate volume shadow copy deletion

-h, --help                           help for run

    --note-location string           Ransomware note location (default "C:\\Users\\neo\\Desktop\\ransomware-simulator-note.txt")

工具參數(shù)

--dir:需要加密的文件所在目錄路徑,默認(rèn)為"./encrypted-files";

--disable-file-encryption:禁用文檔加密功能;

--disable-macro-simulation:禁用惡意宏模擬,惡意宏構(gòu)建過(guò)程如下:winword.exe -> cmd.exe -> ransomware-simulator.exe;

--disable-note-drop:禁用勒索信息發(fā)送功能;

--disable-shadow-copy-deletion:禁用卷影拷貝刪除功能;

-h, --help:顯示工具幫助信息

--note-location:勒索信息發(fā)送位置,默認(rèn)為"C:\\Users\\neo\\Desktop\\ransomware-simulator-note.txt";

工具運(yùn)行截圖

1.jpg1.jpg