RansomLook/RansomLook

# RansomLook RansomLook 是一款用于监控勒索软件（Ransomware）组织及市场，并提取其受害者信息的工具。 ## 功能特性 - 基于 ransomwatch 构建， - 进行了重要的修改： - 所有数据存储于 Valkey 中 - 抓取采用多线程方式 - 使用 PlayWright 进行抓取，并同时截图 - 解析器现在使用 BeautifulSoup 且相互独立 - 如果您创建本地账户，可以通过 Web 界面添加/编辑/删除组织 - 整个网站使用 Flask 构建，无需重新生成任何 MD 文件 - 针对包含您关键词的帖子提供邮件告警 - 包含来自 malpedia 的组织详细信息。 - 每日邮件通知。 - 当有新帖子创建时，在 RocketChat 上发送通知。 - Telegram 监控 - 数据泄露（Dataleak）监控 - 监控加密货币，数据来源： - [MISP](https://www.misp-project.org/) 集成，支持 [MISP ransomware galaxy](https://www.misp-galaxy.org/ransomware/) - 勒索信（Ransomnotes），来自 ThreatLabs (@Threatlabz) # 安装指南 请注意，*强烈* 建议使用 Ubuntu 22.04。 ## 系统依赖 您需要安装 poetry 2.1.0。 ``` curl -sSL https://install.python-poetry.org | python3 - ``` ## 前置条件 ### Valkey [Valkey](https://valkey.io/)：Valkey 是一个开源（BSD）高性能键/值数据存储，支持多种工作负载，如缓存、消息队列，并可作为主数据库。Valkey 可以作为独立守护进程运行，也可以在集群中运行，并提供复制和高可用性选项。 注意：Valkey 应从源码安装，且其仓库必须位于您克隆 RansomLook 的同一目录中。 为了编译和测试 Valkey，您需要几个软件包： ``` sudo apt-get update sudo apt install build-essential tcl ``` ``` git clone https://github.com/valkey-io/valkey cd valkey git checkout 8.0 make # 或者，您可以运行 tests： make test cd .. ``` ### 克隆 RansomLook 执行常规操作： ``` git clone https://github.com/RansomLook/RansomLook.git ``` ### 准备好安装 RansomLook 了吗？ 此时，您应该处于包含 `valkey` 和 `RansomLook` 的目录中。 请通过运行 `ls valkey RansomLook` 确认情况。如果您看到 `No such file or directory`， 说明其中之一缺失，您需要修复安装。 目录树必须如下所示： ``` . ├── valkey => compiled valkey └── RansomLook => not installed RansomLook yet ``` ## 安装 ### 系统依赖（需要 root 权限） ``` sudo apt install python3-dev sudo apt install libnss3 libnspr4 libatk1.0-0 libatk-bridge2.0-0 libcups2 libxkbcommon0 libxdamage1 libgbm1 libpango-1.0-0 libcairo2 libatspi2.0-0 libxcomposite1 libxfixes3 libxrandr2 libasound2 libwayland-client0 sudo apt install libgtk-3-0 libpangocairo-1.0-0 libcairo-gobject2 libgdk-pixbuf2.0-0 libx11-xcb1 libxcursor1 sudo apt install tor ffmpeg ``` ### RansomLook 安装 在您克隆 RansomLook 的目录中，运行： ``` cd RansomLook # if you're not already in the directory poetry install ``` 初始化 `.env` 文件： ``` echo RANSOMLOOK_HOME="`pwd`" >> .env ``` 获取 Web 依赖（CSS, font, JS） ``` poetry run tools/3rdparty.py poetry run tools/generate_sri.py ``` 请注意，这些依赖有版本限制，因为使用了[子资源完整性 (SRI)](https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity)（设置在 website/web/sri.txt 中）。 ### 配置 复制配置文件： ``` cp config/generic.json.sample config/generic.json ``` 并根据您的需求进行配置。 ### 更新并启动 运行以下命令以获取所需的 JavaScript 依赖并启动 RansomLook。 ``` poetry run update --yes ``` 使用默认配置，您可以在 `http://0.0.0.0:8000` 访问 Web 界面。 # 使用方法 启动工具（照例，从该目录运行）： ``` poetry run start ``` 您可以通过以下命令停止它 ``` poetry run stop ``` 使用默认配置，您可以在 `http://127.0.0.1:8000` 访问 Web 界面。 # 命令 ### 从主实例 'https://www.ransomlook.io' 导入数据 此命令将复制官方实例的数据库。 ``` poetry run tools/import_from_instance.py ``` ### 从 malpedia 填充描述和简介 ``` poetry run tools/malpedia.py ``` ### 添加一个组织（我们建议在管理员界面使用 GUI） ``` poetry run add GROUPNAME URLTOCHECK DATABASE-NUMBER ``` 注意：如果 RansomLook/parsers/ 中存在解析器，请确保 GROUPNAME 与 .py 文件名一致 注意：DATABASE-NUMBER 必须是 0 或 3，具体取决于您添加的是勒索软件博客还是市场。 ### 抓取所有组织 ``` sudo systemctl status tor # check if tor is running sudo systemctl enable tor # active tor for next boots sudo systemctl start tor # start tor if not running poetry run scrape ``` ### 解析所有组织 ``` poetry run parse ``` ### 抓取新的数据泄露 ``` poetry run tools/breach.py ``` ### 抓取并解析 Telegram 消息 ``` poetry run telegram ``` 建议创建一个 cron job，每 2 小时抓取并解析所有组织。 # 许可证 版权所有 (C) 2022-2025 [Fafner \[\_KeyZee\_\]](https://github.com/FafnerKeyZee) 版权所有 (C) 2022-2025 [Alexandre Dulaunoy](https://github.com/adulau/) 版权所有 (C) 2023-2025 [Tammy Harper](https://www.linkedin.com/in/tammyharper11) 版权所有 (C) 2022-2025 [CERT-AG](https://cert-ag.com/) - CERT AG 本程序是自由软件：您可以根据自由软件基金会发布的 GNU Affero 通用公共许可证的条款重新分发和/或修改它，许可证版本为 3 或（根据您的选择）任何后续版本。 分发本程序是希望它有用，但没有任何保证；甚至没有适销性或特定用途适用性的默示保证。有关更多详细信息，请参阅 GNU Affero 通用公共许可证。 您应该已收到一份 GNU Affero 通用公共许可证副本以及本程序。如果没有，请参阅 。 # API 使用及许可证 **ransomlook.io** 提供的所有内容 —— 包括网站、API 响应和数据集 —— 均根据 [知识共享署名 4.0 国际 (CC BY 4.0)](https://creativecommons.org/licenses/by/4.0/) 许可证发布。 您可以自由共享和改编素材用于任何目的，甚至是商业用途，只要给予适当的署名。

标签：Atomic Red Team, BeautifulSoup, ESC4, Flask, IP 地址批量处理, OSINT, Playwright, Python, RocketChat通知, Splunk, Telegram监控, Valkey, 勒索组织, 勒索软件追踪, 受害者信息提取, 多线程爬虫, 威胁分析, 威胁情报, 密码管理, 开发者工具, 数字货币监控, 数据泄露检测, 无后门, 暗网监控, 特征检测, 网络威胁监控, 自动化侦查工具, 逆向工具, 邮件告警