femrawr/stuckmoth
GitHub: femrawr/stuckmoth
一个基于后量子加密的Windows勒索软件模拟工具,用于安全研究和教育。
Stars: 0 | Forks: 0
# stuckmoth
一款Windows勒索软件,采用后量子Kyber密钥封装机制(ML-KEM),结合Curve25519和XChaCha20Poly1305加密算法,并提供用于构建、查看更新等功能的Web控制面板。
## 构建步骤
1. 进入 `stuckmoth\panel` 目录
2. 运行命令 `cargo run --release --target x86_64-pc-windows-msvc`
3. 等待依赖项编译完成
4. 访问其输出的URL(应形如 `listening on http://127.0.0.1:1107`)
5. 填写相关设置项
6. 滚动至页面底部点击"build"按钮
7. 等待页面重新加载(首次构建可能需要较长时间)
8. 进入 `.builds` 目录(若不存在,构建器将自动创建)
9. 最新构建版本位于以"latest-"开头的文件夹中
10. 该文件夹内包含加密器和专用解密器。
## 控制面板设置
- **`tracking id`** - 用于跟踪此构建版本的标识符。
- **`note`** - 加密完成后将显示的注释信息。
- **`files enumeration chunk size`** - 每个文件发现周期内枚举并提交加密的文件数量。¹
- **`overwrite deleted data passes`** - 文件加密后被覆写的次数。²
- **`processes to kill`** - 加密启动前需终止的进程列表。³
- **`whitelisted directories`** - 加密过程中需忽略的目录列表。⁴
- **`whitelisted file extensions`** - 加密过程中需忽略的文件扩展名列表。⁵
- **`block input`** - 加密期间禁用所有鼠标和键盘输入。⁶
- **`force admin`** - 持续触发UAC提示直至获得授权。⁷
- **`melt file`** - 加密完成后删除stuckmoth文件本身。⁸
- **`open note`** - 加密完成后自动打开注释文件。⁹
- **`restart device`** - 加密完成后自动重启设备。
- **`delete shadow copies`** - 使用vssadmin删除所有卷影副本。
- **`overwrite deleted data`** - 覆写所有检测到的驱动器中的已删除数据。²
- **`encrypt separately`** - 将加密数据写入新文件后再删除原文件。
- **`obfuscate file names`** - 将加密后的文件名更改为单字母名称。¹⁰
- **`add file extension`** - 在文件末尾追加".STUCKMOTH"扩展名。
¹ 当分块大小小于目录中的文件数量时,可能触发循环加密,尤其在启用`obfuscate file names`时。
² 此选项仅在启用`encrypt separately`时生效。
³ 进程将通过`taskkill /f /im <进程名>`终止。若进程在终止后重启,将不会被重复终止。
⁴ 支持使用环境变量路径(如`%SYSTEMROOT%`),系统将自动展开已存在的变量。
⁵ 若启用`add file extension`,即使面板文本框未显示,".STUCKMOTH"也会被自动加入列表。
⁶ 此选项要求stuckmoth以管理员权限运行。
⁷ 若stuckmoth已以管理员权限运行则不执行此操作。
⁸ 若启用`restart device`且stuckmoth以管理员权限运行,其进程路径将被添加至`HKLM\SYSTEM\CurrentControlSet\Control\Session Manager`的`PendingFileRenameOperations`键值。若未以管理员权限运行,则将在`HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce`中添加注册表项(`del`)。
⁹ 若启用`restart device`,stuckmoth将在`HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce`中添加注册表项(`explorer <注释文件路径>`)。
¹⁰ 当文件数量超过`a`-`z`范围时,将依次使用`aa`、`aaa`等命名。
## 调试配置 - **`DEBUG_MODE_ENABLED`** - 是否启用调试模式。 - **`DEBUG_MODE_DIR_OVERRIDE`** - 唯一指定的加密目录。 - **`DEBUG_MODE_MAX_FILES_ENCRYPTABLE`** - 最大加密文件数量。¹ ¹ 若设为0,则无文件数量限制。 ## 免责声明 本工具严格限于教育及安全研究目的,不得用于任何恶意或非法用途。
使用者需对本工具的使用方式及用途承担全部责任。
创建者对因使用本工具可能导致的任何损害、数据丢失或非预期后果概不负责。
² 此选项仅在启用`encrypt separately`时生效。
³ 进程将通过`taskkill /f /im <进程名>`终止。若进程在终止后重启,将不会被重复终止。
⁴ 支持使用环境变量路径(如`%SYSTEMROOT%`),系统将自动展开已存在的变量。
⁵ 若启用`add file extension`,即使面板文本框未显示,".STUCKMOTH"也会被自动加入列表。
⁶ 此选项要求stuckmoth以管理员权限运行。
⁷ 若stuckmoth已以管理员权限运行则不执行此操作。
⁸ 若启用`restart device`且stuckmoth以管理员权限运行,其进程路径将被添加至`HKLM\SYSTEM\CurrentControlSet\Control\Session Manager`的`PendingFileRenameOperations`键值。若未以管理员权限运行,则将在`HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce`中添加注册表项(`del
⁹ 若启用`restart device`,stuckmoth将在`HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce`中添加注册表项(`explorer <注释文件路径>`)。
¹⁰ 当文件数量超过`a`-`z`范围时,将依次使用`aa`、`aaa`等命名。
## 调试配置 - **`DEBUG_MODE_ENABLED`** - 是否启用调试模式。 - **`DEBUG_MODE_DIR_OVERRIDE`** - 唯一指定的加密目录。 - **`DEBUG_MODE_MAX_FILES_ENCRYPTABLE`** - 最大加密文件数量。¹ ¹ 若设为0,则无文件数量限制。 ## 免责声明 本工具严格限于教育及安全研究目的,不得用于任何恶意或非法用途。
使用者需对本工具的使用方式及用途承担全部责任。
创建者对因使用本工具可能导致的任何损害、数据丢失或非预期后果概不负责。
标签:可视化界面, 通知系统