一个能够构建完全自定义勒索软件的生成器，具有以下功能：

• C2 回调
• 多语言支持（PowerShell/C#/Python）
• AES 加密与解密
• 无检测

Jinn Ransomware Builder 实际上是一个蜜罐，但其中提到的一些功能是真实存在的。

让我们详细说明一下这些功能：

1. C2 回调——后门和硬编码：

TcpClient() 函数需要两个参数：主机和目标端口。

如你所见，主机参数是通过 Substring() 函数构造的，该函数从一个长字符串中提取出 IP 地址。

Process _Tiger = new Process();

用于在内存中启动一个新进程。

_Tiger.StartInfo.Filename = GetFileName();

记下这个函数，我们将在下面进行解释。

GetFileName()函数使用与TcpClient()函数相同的Substring()函数来构建阶段器名称。

结果：CmD.eXE

结论：我们的代码用于启动远程连接，并打开服务器上托管的名为“CmD.eXE”的可执行文件。

2. 多语言支持（PowerShell/C#/Python）——理论上是的：

……但实际上，这只是一个提示框而已。

用户本应从命令行创建勒索软件植入程序的配置，包括填写C2服务器信息、选择植入程序的编写语言（PowerShell、C#、Python）、持久性模式（无、计划任务、新账户创建）、解密密码以及需要加密的文件扩展名列表。

最终，构建器会生成两个可执行文件——一个用于加密，另一个用于解密。

这些只是为了让功能列表看起来更吸引人。

3. AES加密与解密——但这些功能并未完全实现。

这些功能被加入到构建器中是为了：

• 使其看起来像一个合法的勒索软件生成器
• 将硬编码的后门隐藏在显眼的地方

实际上，从程序的主函数开始进行基本的源代码分析，就会发现：

第一个被调用的方法是 me()，它是用于建立后门连接的方法。

定义如下所示。

4. 无检测——这一点无需多言😏。

始终分析从互联网获取的漏洞样本和黑客工具中的代码

• 检查IP地址和端口
• 检查打开新连接的函数
• 检查尝试运行系统命令的函数
• 如果在VirusTotal上没有任何检测，这并不意味着它是无害的

核实您在社交媒体上或向客户传播的威胁情报的质量

所有活动均在模拟环境中完成。未进行任何非法黑客行为，我严厉反对任何此类行为。

https://corneacristian.medium.com/how-i-hacked-100-hackers-5c3c313e8a1a