send
Grupo de Telegram
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Configurando Hidden Tear (Offline)

  • 15 Respuestas
  • 7286 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1868
  • Actividad:
    15%
  • Reputación 14
    • Ver Perfil
« en: Octubre 11, 2015, 09:51:34 am »

Sigo con las publicaciones sobre este ransomware de código abierto, si no has leído la anterior, te recomiendo que lo hagas, You are not allowed to view links. Register or Login.

Para comenzar a configurar este malware, debemos descargar su código source, podemos hacerlo desde su repositorio oficial en github: You are not allowed to view links. Register or Login
Mirror: You are not allowed to view links. Register or Login

Para poder modificarlo y compilarlo, necesitaremos Visual Studio. Abriremos el proyecto que hay en el directorio "hidden-tear-offline", no tendremos problemas para entenderlo y modificar las cosas que queramos, pues el código está perfectamente comentado y muy bien estructurado.

Lo primero con lo que nos encontraremos, será donde se guardará la contraseña dentro del pc o usb, ya que el método que emplearemos es offline, en próximas publicaciones, explicaré en online.


A continuación, nos encontraremos con esta línea, en la que deberemos de escribir el nombre del fichero pdf que queremos que se abra, haciendo creer a la víctima, que realmente ha ejecutado el pdf.


En ese paso, podremos modificar la contraseña que queremos que cree aleatoriamente, aunque se puede modificar para dejarla fija.


Extensiones que se encriptarán, podemos suprimir alguna o bien, añadir más.


Este será el mensaje que dejaremos al usuario en el escritorio, dentro del fichero Read_it.txt


El método de cifrado de ficheros y la extensión que se utilizará.


Una vez sabemos como funciona, lo compilamos y comenzamos a probarlo.


Justo cuando lo ejecutamos, se nos abre nuestro fichero pdf (se me abre en el navegador pues en la virtual no tengo ningún visor.)


Una vez el malware hace su trabajo (dependiendo de los ficheros que tengamos, tardará más o menos), podremos comprobar que tenemos nuestros ficheros cifrados.


Puesto a que este es el método offline del ransomware, iremos al directorio de nuestro usuario, en mi caso: C:\Users\Pentesting y ahí encontraremos un txt con la contraseña que necesitamos para recuperar nuestros ficheros.


Utilizando otro proyecto llamado hidden-tear-decrypter (también en github), podremos recuperar los ficheros, utilizando esta contraseña.

Nota: Si alguien le editó la extensión .locked, deberá modificar esta línea escribiendo la extensión que utilizó.



Y tenemos nuestros ficheros de nuevo!


Agradecimientos: Windux por haberme pasado el enlace de github de este proyecto.

Ver post en el blog: You are not allowed to view links. Register or Login

En la siguiente entrega, explicaré como modificar y configurar el malware con su método Online.
« Última modificación: Marzo 19, 2016, 05:15:57 pm por blackdrake »



Conectado Gabriela

  • *
  • Co Admin
  • Mensajes: 817
  • Actividad:
    6.67%
  • Reputación 12
    • Ver Perfil
    • Email
« Respuesta #1 en: Octubre 14, 2015, 02:24:24 pm »

@You are not allowed to view links. Register or Login

Como bien nos tienes acostumbrados, tus aportes claros, didácticos e idóneos para los que estamos aprendiendo.
Gracias por tu trabajo y por ese tiempo para compartir, que bien sé que hoy por hoy, es muy es escaso.

Gabi

Desconectado dehombreadios

  • *
  • Underc0der
  • Mensajes: 28
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #2 en: Octubre 14, 2015, 08:05:35 pm »
Buen post bro, pero el que "extorsiona" a su victima lo hace por algún medio?? o solo con ese mensaje que está configurado en el malware, porque aquí en mi país perú, no dudan y sin perder tiempo lo llevan al técnico a que formatee todos sus discos xDDDD , creo que mejor sería ponerse en contacto con la victima por facebook y negociar con la victima a que me haga una recarga al celular por 3 pesos xDDDD Y le doy la pass.... bueno para una broma está bueno, pero para hacer maldades no va  :P

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1868
  • Actividad:
    15%
  • Reputación 14
    • Ver Perfil
« Respuesta #3 en: Octubre 15, 2015, 09:35:58 am »
You are not allowed to view links. Register or Login
Buen post bro, pero el que "extorsiona" a su victima lo hace por algún medio?? o solo con ese mensaje que está configurado en el malware, porque aquí en mi país perú, no dudan y sin perder tiempo lo llevan al técnico a que formatee todos sus discos xDDDD , creo que mejor sería ponerse en contacto con la victima por facebook y negociar con la victima a que me haga una recarga al celular por 3 pesos xDDDD Y le doy la pass.... bueno para una broma está bueno, pero para hacer maldades no va  :P

Puedes añadir el mensaje que quieras al txt que se genera.

Formatear? Básicamente los ransomware existen porque hay ciertos datos que no se pueden perder, si formateas, de que sirve, estás en las mismas, a ti quizás no te afecte tanto, pero a las empresas si y mucho.

Saludos.



Desconectado maxpc

  • *
  • Underc0der
  • Mensajes: 2
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #4 en: Diciembre 02, 2015, 08:08:47 pm »
Hola a todos. Tengo algunas dudas sobre el hidden tear. He estado haciendo algunas pruebas, pero al parecer, algo mal debo estar haciendo, o no funciona como debería.

DUDAS:

1- Si modifico el tiempo de ejecución (por defecto vienen 40000 mili segundos o 40 segundos) y lo aumento a digamos 3 horas, teóricamente el hidden tear se ejecutaría luego de ese tiempo, pero que sucedería si antes de ese tiempo, alguien reiniciara el ordenador:
   a- el timer se detendría, y no iniciaría el proceso? (seria necesario ejecutar nuevamente el hidden tear)
   b- el timer se reiniciaría, y las 3 horas comenzarían a contar nuevamente desde que el ordenador se reinicio?
   c- el timer solo se detendría y completaría el ciclo luego de reiniciado?
   d- en cualquiera de los casos, para que se ejecute el proceso es necesario que el pen drive este colocado?


Procedo a detallar,a ver si alguien puede orientarme en que estoy haciendo mal.

1- Al intentar ejecutar el hidden tear en un ordenador con windows xp, el archivo .exe no se ejecuta y sale un mensaje que dice que el archivo.exe (como sea que lo han renombrado) no es una aplicación win32 valida...

2- A intentar ejecutar en windows 8.1, me dice que no puede encontrar la carpeta User1, y no se ejecuta. Esto lo hace sin importar el destino que coloque ("c:\\" o "c:\\user\\")

En todos los casos crea el txt con la key para desbloquear los archivos que supuestamente seran encriptados, pero no encripta nada, ya que luego de ese error, todo el proceso se detiene.

Desde ya muchas gracias por su ayuda.

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1868
  • Actividad:
    15%
  • Reputación 14
    • Ver Perfil
« Respuesta #5 en: Diciembre 07, 2015, 12:17:44 pm »
You are not allowed to view links. Register or Login
Hola a todos. Tengo algunas dudas sobre el hidden tear. He estado haciendo algunas pruebas, pero al parecer, algo mal debo estar haciendo, o no funciona como debería.


Citar
1- Si modifico el tiempo de ejecución (por defecto vienen 40000 mili segundos o 40 segundos) y lo aumento a digamos 3 horas, teóricamente el hidden tear se ejecutaría luego de ese tiempo, pero que sucedería si antes de ese tiempo, alguien reiniciara el ordenador:

Ocurriría lo que dices en tu opción A; a no ser que le añadas persistencia y autorun con algún crypter que en tal caso, volvería a iniciar el timer y debería esperar las 3 horas...

Citar
1- Al intentar ejecutar el hidden tear en un ordenador con windows xp, el archivo .exe no se ejecuta y sale un mensaje que dice que el archivo.exe (como sea que lo han renombrado) no es una aplicación win32 valida...

2- A intentar ejecutar en windows 8.1, me dice que no puede encontrar la carpeta User1, y no se ejecuta. Esto lo hace sin importar el destino que coloque ("c:\\" o "c:\\user\\")

Seguramente ambos errores sean por lo mismo, error de ejecución.

Verifica que las rutas estén bien, sobre todo, que tengas el .pdf en el directorio donde se ejecuta el .exe (o esté bien en la ruta).

Saludos y comenta de nuevo tus dudas/errores.



Desconectado maxpc

  • *
  • Underc0der
  • Mensajes: 2
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #6 en: Diciembre 08, 2015, 12:16:01 pm »
Muchas gracias por tu respuesta:

You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
Hola a todos. Tengo algunas dudas sobre el hidden tear. He estado haciendo algunas pruebas, pero al parecer, algo mal debo estar haciendo, o no funciona como debería.


Citar
1- Si modifico el tiempo de ejecución (por defecto vienen 40000 mili segundos o 40 segundos) y lo aumento a digamos 3 horas, teóricamente el hidden tear se ejecutaría luego de ese tiempo, pero que sucedería si antes de ese tiempo, alguien reiniciara el ordenador:

Ocurriría lo que dices en tu opción A; a no ser que le añadas persistencia y autorun con algún crypter que en tal caso, volvería a iniciar el timer y debería esperar las 3 horas...

Citar
1- Al intentar ejecutar el hidden tear en un ordenador con windows xp, el archivo .exe no se ejecuta y sale un mensaje que dice que el archivo.exe (como sea que lo han renombrado) no es una aplicación win32 valida...

2- A intentar ejecutar en windows 8.1, me dice que no puede encontrar la carpeta User1, y no se ejecuta. Esto lo hace sin importar el destino que coloque ("c:\\" o "c:\\user\\")

Seguramente ambos errores sean por lo mismo, error de ejecución.

Verifica que las rutas estén bien, sobre todo, que tengas el .pdf en el directorio donde se ejecuta el .exe (o esté bien en la ruta).

Saludos y comenta de nuevo tus dudas/errores.

El pdf esta en el directorio donde se ejecuta el .exe, ya que lo abre, pero sale el aviso queno encuentra la carpeta User1 (en el caso del windows 8.1)  y el error de que no es una aplicacion win32 valida directamente no crea txt ni abre pdf, solo finaliza ahi.
Para asegurarme lo de la ruta, las dos opciones que coloque con "c:\\user\\"  y "c:\\ ", te agradeceria si pudieras indecarme si estan bien o como decirle que incluyera el equipo completo (si es posible) o sea todos los discos que existieran y/o sus particiones.
Desde ya muchas gracias.

Desconectado fudmario

  • *
  • Cramel
  • *
  • Mensajes: 185
  • Actividad:
    18.33%
  • Reputación 10
    • Ver Perfil
    • fudmario - GitHub
  • Skype: fudmario
« Respuesta #7 en: Diciembre 09, 2015, 09:07:59 pm »
Sobre el Error en Windows XP: Si no me equivoco windows xp solo acepta hasta .NetFramework 4, el proyecto como Framework destino es: 4.5, lo que puedes hacer es cambiar a 4 o 3,5.

Sobre el Error en la Ruta:  puede usar directamente:
Código: C#
  1. System.Environment.GetFolderPath(Environment.SpecialFolder.Desktop)
  2.  
Y respecto a que "incluyera el equipo completo":
 puedes usar  : System.IO.DriveInfo.GetDrives() -> You are not allowed to view links. Register or Login
Para poder listar los Discos en el Sistema:
Código: C#
  1.  foreach (var str in System.IO.DriveInfo.GetDrives())
  2.             {
  3.                 if (str.DriveType != System.IO.DriveType.CDRom)
  4.                 {
  5.                  // Aqui pudes cifrar los archivos de los discos: encryptDirectory(str.Name, password);                    
  6.                 }
  7.             }
  8.  

« Última modificación: Diciembre 09, 2015, 09:13:10 pm por fudmario »


Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1868
  • Actividad:
    15%
  • Reputación 14
    • Ver Perfil
« Respuesta #8 en: Diciembre 11, 2015, 06:42:42 am »
Citar
El pdf esta en el directorio donde se ejecuta el .exe, ya que lo abre, pero sale el aviso queno encuentra la carpeta User1 (en el caso del windows 8.1)  y el error de que no es una aplicacion win32 valida directamente no crea txt ni abre pdf, solo finaliza ahi.

El error de win32 como dijo @You are not allowed to view links. Register or Login lo provoca net framework, cambialo o actualizalo.


Citar
Para asegurarme lo de la ruta, las dos opciones que coloque con "c:\\user\\"  y "c:\\ ", te agradeceria si pudieras indecarme si estan bien o como decirle que incluyera el equipo completo (si es posible) o sea todos los discos que existieran y/o sus particiones.
Desde ya muchas gracias.

Prueba con C:\\Users\\ en mayuscula la C y la U y acabado en s. prueba y me cuentas. Los discos puedes hacer como dijo también @You are not allowed to view links. Register or Login.

Saludos.



Desconectado meika1712

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #9 en: Agosto 14, 2016, 10:51:59 am »
Tengo una pregunta, tengo los codigos fuente, y edito todo como lo haces, pero al momento de compilarlo en visual studio 2013 todo perfecto y a la hora de ejecutarlo no ocurre nada. (tengo windows 10 x86)

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1868
  • Actividad:
    15%
  • Reputación 14
    • Ver Perfil
« Respuesta #10 en: Agosto 17, 2016, 12:28:18 pm »
You are not allowed to view links. Register or Login
Tengo una pregunta, tengo los codigos fuente, y edito todo como lo haces, pero al momento de compilarlo en visual studio 2013 todo perfecto y a la hora de ejecutarlo no ocurre nada. (tengo windows 10 x86)

Ya te respondí por privado y está solucionado, para el resto, si le ocurre lo mismo, verificar que el directorio donde empieza a ejecutarse existe ^^

PD: No seáis malos!!!

Saludos.



Desconectado ceroMee

  • *
  • Underc0der
  • Mensajes: 37
  • Actividad:
    0%
  • Reputación 1
    • Ver Perfil
    • Email
« Respuesta #11 en: Octubre 09, 2016, 06:07:02 pm »
hola, gracias por el tuto, queria preguntar, que visual studio necesito para compilarlo? me preguntaba si podria utilizar este visual studio You are not allowed to view links. Register or Login

Desconectado grep

  • *
  • Underc0der
  • Mensajes: 178
  • Actividad:
    0%
  • Reputación 3
    • Ver Perfil
    • Grep's personal site
« Respuesta #12 en: Octubre 10, 2016, 03:04:16 am »
Según las fuentes del archivo de solución (.sln) de Hidden-Tear, se ha utilizado la versión 12.0 (Visual Studio 2013), aunque no debería haber problema de abrir el proyecto con VS2015.

Visual Studio Code (You are not allowed to view links. Register or Login) es solo un editor. Para compilar puedes utilizar Visual Studio (You are not allowed to view links. Register or Login) o las mismas herramientas que brinda el Framework .NET a través de la línea de comandos.

Saludos

Desconectado dolunayin_oglu

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #13 en: Octubre 06, 2017, 07:37:17 am »
You are not allowed to view links. Register or Login

Y respecto a que "incluyera el equipo completo":
 puedes usar  : System.IO.DriveInfo.GetDrives() -> You are not allowed to view links. Register or Login
Para poder listar los Discos en el Sistema:
Código: C#
  1.  foreach (var str in System.IO.DriveInfo.GetDrives())
  2.             {
  3.                 if (str.DriveType != System.IO.DriveType.CDRom)
  4.                 {
  5.                  // Aqui pudes cifrar los archivos de los discos: encryptDirectory(str.Name, password);                    
  6.                 }
  7.             }
  8.  

Apliqué lo que dijiste . Información adicional: 'C: \ Documents and Settings' Se deniega el acceso a la ruta. (win 8.1 - Framework 4.5)
¿Cómo puedo solucionar este problema. ¿Puedes ayudar

Desconectado fudmario

  • *
  • Cramel
  • *
  • Mensajes: 185
  • Actividad:
    18.33%
  • Reputación 10
    • Ver Perfil
    • fudmario - GitHub
  • Skype: fudmario
« Respuesta #14 en: Octubre 08, 2017, 02:51:08 am »
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

Y respecto a que "incluyera el equipo completo":
 puedes usar  : System.IO.DriveInfo.GetDrives() -> You are not allowed to view links. Register or Login
Para poder listar los Discos en el Sistema:
Código: C#
  1.  foreach (var str in System.IO.DriveInfo.GetDrives())
  2.             {
  3.                 if (str.DriveType != System.IO.DriveType.CDRom)
  4.                 {
  5.                  // Aqui pudes cifrar los archivos de los discos: encryptDirectory(str.Name, password);                    
  6.                 }
  7.             }
  8.  

Apliqué lo que dijiste . Información adicional: 'C: \ Documents and Settings' Se deniega el acceso a la ruta. (win 8.1 - Framework 4.5)
¿Cómo puedo solucionar este problema. ¿Puedes ayudar

Es posible que no tengas acceso y/o Privilegios al directorio en concreto, para tal situacion necesitaras ejecutar el archivo como administrador, si necesitas bypassear optarias por Portar alguno de los métodos de You are not allowed to view links. Register or Login, otra forma fácil seria modificando el Archivo manifest.

Código: Text
  1. <requestedprivileges>
  2.             <requestedexecutionlevel level="requireAdministrator" uiAccess="false"></requestedexecutionlevel>
  3. </requestedprivileges>
  4.  

Más información:
 
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
 


Desconectado Manzana

  • *
  • Underc0der
  • Mensajes: 12
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #15 en: Febrero 24, 2018, 02:23:34 pm »
Haces que todo se vea muy fácil! Gracias!
« Última modificación: Febrero 27, 2018, 11:50:46 am por Manzana »

 

¿Te gustó el post? COMPARTILO!



Configurando EDA2

Iniciado por blackdrake

Respuestas: 29
Vistas: 11131
Último mensaje Octubre 17, 2017, 07:44:38 pm
por facutota
[VIDEO] EDA2 new version (hidden Tear) Ransomware Open Source

Iniciado por GreyCod3

Respuestas: 2
Vistas: 2459
Último mensaje Abril 30, 2016, 05:14:45 pm
por facutota
Hidden Tear el primer Ransomware Open Source

Iniciado por blackdrake

Respuestas: 0
Vistas: 2169
Último mensaje Octubre 11, 2015, 09:49:18 am
por blackdrake
Configurando Hidden Tear (Online)

Iniciado por blackdrake

Respuestas: 15
Vistas: 6447
Último mensaje Mayo 17, 2017, 03:35:56 am
por cristobal92