(http://apexitsol.com/wp-content/uploads/2015/08/ransomware.jpg)
Sigo con las publicaciones sobre este ransomware de código abierto, si no has leído la anterior, te recomiendo que lo hagas, puedes acceder desde aquí (https://underc0de.org/foro/malware/hidden-tear-el-primer-ransomware-open-source/).
Para comenzar a configurar este malware, debemos descargar su código source, podemos hacerlo desde su repositorio oficial en github: https://github.com/utkusen/hidden-tear
Mirror: https://mega.nz/#!qMMhlaCS!7J5W9rdeUJDkWxpH5CI4nzWIb6XWrJlY0eskA2q1znQ
Para poder modificarlo y compilarlo, necesitaremos Visual Studio. Abriremos el proyecto que hay en el directorio "hidden-tear-offline", no tendremos problemas para entenderlo y modificar las cosas que queramos, pues el código está perfectamente comentado y muy bien estructurado.
Lo primero con lo que nos encontraremos, será donde se guardará la contraseña dentro del pc o usb, ya que el método que emplearemos es offline, en próximas publicaciones, explicaré en online.
(https://3.bp.blogspot.com/-YKqJooTHU5w/VhpOGGaU1zI/AAAAAAAAAfs/T-3RoteYg9s/s1600/1.png)
A continuación, nos encontraremos con esta línea, en la que deberemos de escribir el nombre del fichero pdf que queremos que se abra, haciendo creer a la víctima, que realmente ha ejecutado el pdf.
(https://3.bp.blogspot.com/-LFzL3z1BUrw/VhpPO3NRMbI/AAAAAAAAAgc/1x3r24AwjoI/s1600/7.png)
En ese paso, podremos modificar la contraseña que queremos que cree aleatoriamente, aunque se puede modificar para dejarla fija.
(https://3.bp.blogspot.com/-iyTv_a0GPHE/VhpOGKXbhWI/AAAAAAAAAfo/JNNzdz-Tz7c/s640/2.png)
Extensiones que se encriptarán, podemos suprimir alguna o bien, añadir más.
(https://1.bp.blogspot.com/-8MQPfC3YUbQ/VhpOGRHM5VI/AAAAAAAAAgA/XPhBFWiP0l0/s1600/3.png)
Este será el mensaje que dejaremos al usuario en el escritorio, dentro del fichero
Read_it.txt(https://4.bp.blogspot.com/-SAvJ-7Y-cxs/VhpOGrjAAKI/AAAAAAAAAfw/het3YQSfZX4/s1600/4.png)
El método de cifrado de ficheros y la extensión que se utilizará.
(https://1.bp.blogspot.com/-42khtoAzHOw/VhpOG1WQ7kI/AAAAAAAAAf0/wko9m3aiXHc/s1600/5.png)
Una vez sabemos como funciona, lo compilamos y comenzamos a probarlo.
(https://3.bp.blogspot.com/-0ZW_WeTcjTc/VhpOIDsrBGI/AAAAAAAAAgM/2tk61p_WMlQ/s400/6.png)
Justo cuando lo ejecutamos, se nos abre nuestro fichero pdf (se me abre en el navegador pues en la virtual no tengo ningún visor.)
(https://4.bp.blogspot.com/-_2jcTQKyn7k/VhpQ85HPkcI/AAAAAAAAAgo/MiSk5YrWkP0/s640/8.png)
Una vez el malware hace su trabajo (dependiendo de los ficheros que tengamos, tardará más o menos), podremos comprobar que tenemos nuestros ficheros cifrados.
(https://4.bp.blogspot.com/-cnHBRaH-uKU/VhpR-iSsliI/AAAAAAAAAg0/CbCPxOuue1I/s640/9.png)
Puesto a que este es el método offline del ransomware, iremos al directorio de nuestro usuario, en mi caso: C:\Users\Pentesting y ahí encontraremos un txt con la contraseña que necesitamos para recuperar nuestros ficheros.
(https://4.bp.blogspot.com/-H2VtQvQYtzc/VhpSj2K6H_I/AAAAAAAAAg8/DpZjejoRj80/s400/10.png)
Utilizando otro proyecto llamado hidden-tear-decrypter (también en github), podremos recuperar los ficheros, utilizando esta contraseña.
Nota: Si alguien le editó la extensión
.locked, deberá modificar esta línea escribiendo la extensión que utilizó.
(https://4.bp.blogspot.com/-sM8Lke66rlg/VhpTHJOuJdI/AAAAAAAAAhE/4FHnsJu1EtY/s400/11.png)
(https://1.bp.blogspot.com/-5iCS4lFW6FQ/VhpTjSXxdcI/AAAAAAAAAhM/eQ-FRAwdEV0/s320/12.png)
Y tenemos nuestros ficheros de nuevo!
(https://1.bp.blogspot.com/-wvt73Gl49sg/VhpWeCNzdEI/AAAAAAAAAhY/2nj6LMGiUWw/s320/13.png)
Agradecimientos: Windux por haberme pasado el enlace de github de este proyecto.
Ver post en el blog: http://blog.underc0de.org/2015/10/configurando-hidden-tear-offline.html
En la siguiente entrega, explicaré como modificar y configurar el malware con su método
Online.
@blackdrake (https://underc0de.org/foro/index.php?action=profile;u=24972)
Como bien nos tienes acostumbrados, tus aportes claros, didácticos e idóneos para los que estamos aprendiendo.
Gracias por tu trabajo y por ese tiempo para compartir, que bien sé que hoy por hoy, es muy es escaso.
Gabi
Buen post bro, pero el que "extorsiona" a su victima lo hace por algún medio?? o solo con ese mensaje que está configurado en el malware, porque aquí en mi país perú, no dudan y sin perder tiempo lo llevan al técnico a que formatee todos sus discos xDDDD , creo que mejor sería ponerse en contacto con la victima por facebook y negociar con la victima a que me haga una recarga al celular por 3 pesos xDDDD Y le doy la pass.... bueno para una broma está bueno, pero para hacer maldades no va :P
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Buen post bro, pero el que "extorsiona" a su victima lo hace por algún medio?? o solo con ese mensaje que está configurado en el malware, porque aquí en mi país perú, no dudan y sin perder tiempo lo llevan al técnico a que formatee todos sus discos xDDDD , creo que mejor sería ponerse en contacto con la victima por facebook y negociar con la victima a que me haga una recarga al celular por 3 pesos xDDDD Y le doy la pass.... bueno para una broma está bueno, pero para hacer maldades no va :P
Puedes añadir el mensaje que quieras al txt que se genera.
Formatear? Básicamente los ransomware existen porque hay ciertos datos que no se pueden perder, si formateas, de que sirve, estás en las mismas, a ti quizás no te afecte tanto, pero a las empresas si y mucho.
Saludos.
Hola a todos. Tengo algunas dudas sobre el hidden tear. He estado haciendo algunas pruebas, pero al parecer, algo mal debo estar haciendo, o no funciona como debería.
DUDAS:
1- Si modifico el tiempo de ejecución (por defecto vienen 40000 mili segundos o 40 segundos) y lo aumento a digamos 3 horas, teóricamente el hidden tear se ejecutaría luego de ese tiempo, pero que sucedería si antes de ese tiempo, alguien reiniciara el ordenador:
a- el timer se detendría, y no iniciaría el proceso? (seria necesario ejecutar nuevamente el hidden tear)
b- el timer se reiniciaría, y las 3 horas comenzarían a contar nuevamente desde que el ordenador se reinicio?
c- el timer solo se detendría y completaría el ciclo luego de reiniciado?
d- en cualquiera de los casos, para que se ejecute el proceso es necesario que el pen drive este colocado?
Procedo a detallar,a ver si alguien puede orientarme en que estoy haciendo mal.
1- Al intentar ejecutar el hidden tear en un ordenador con windows xp, el archivo .exe no se ejecuta y sale un mensaje que dice que el archivo.exe (como sea que lo han renombrado) no es una aplicación win32 valida...
2- A intentar ejecutar en windows 8.1, me dice que no puede encontrar la carpeta User1, y no se ejecuta. Esto lo hace sin importar el destino que coloque ("c:\\" o "c:\\user\\")
En todos los casos crea el txt con la key para desbloquear los archivos que supuestamente seran encriptados, pero no encripta nada, ya que luego de ese error, todo el proceso se detiene.
Desde ya muchas gracias por su ayuda.
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Hola a todos. Tengo algunas dudas sobre el hidden tear. He estado haciendo algunas pruebas, pero al parecer, algo mal debo estar haciendo, o no funciona como debería.
Citar1- Si modifico el tiempo de ejecución (por defecto vienen 40000 mili segundos o 40 segundos) y lo aumento a digamos 3 horas, teóricamente el hidden tear se ejecutaría luego de ese tiempo, pero que sucedería si antes de ese tiempo, alguien reiniciara el ordenador:
Ocurriría lo que dices en tu opción A; a no ser que le añadas persistencia y autorun con algún crypter que en tal caso, volvería a iniciar el timer y debería esperar las 3 horas...
Citar1- Al intentar ejecutar el hidden tear en un ordenador con windows xp, el archivo .exe no se ejecuta y sale un mensaje que dice que el archivo.exe (como sea que lo han renombrado) no es una aplicación win32 valida...
2- A intentar ejecutar en windows 8.1, me dice que no puede encontrar la carpeta User1, y no se ejecuta. Esto lo hace sin importar el destino que coloque ("c:\\" o "c:\\user\\")
Seguramente ambos errores sean por lo mismo, error de ejecución.
Verifica que las rutas estén bien, sobre todo, que tengas el .pdf en el directorio donde se ejecuta el .exe (o esté bien en la ruta).
Saludos y comenta de nuevo tus dudas/errores.
Muchas gracias por tu respuesta:
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Hola a todos. Tengo algunas dudas sobre el hidden tear. He estado haciendo algunas pruebas, pero al parecer, algo mal debo estar haciendo, o no funciona como debería.
Citar1- Si modifico el tiempo de ejecución (por defecto vienen 40000 mili segundos o 40 segundos) y lo aumento a digamos 3 horas, teóricamente el hidden tear se ejecutaría luego de ese tiempo, pero que sucedería si antes de ese tiempo, alguien reiniciara el ordenador:
Ocurriría lo que dices en tu opción A; a no ser que le añadas persistencia y autorun con algún crypter que en tal caso, volvería a iniciar el timer y debería esperar las 3 horas...
Citar1- Al intentar ejecutar el hidden tear en un ordenador con windows xp, el archivo .exe no se ejecuta y sale un mensaje que dice que el archivo.exe (como sea que lo han renombrado) no es una aplicación win32 valida...
2- A intentar ejecutar en windows 8.1, me dice que no puede encontrar la carpeta User1, y no se ejecuta. Esto lo hace sin importar el destino que coloque ("c:\\" o "c:\\user\\")
Seguramente ambos errores sean por lo mismo, error de ejecución.
Verifica que las rutas estén bien, sobre todo, que tengas el .pdf en el directorio donde se ejecuta el .exe (o esté bien en la ruta).
Saludos y comenta de nuevo tus dudas/errores.
El pdf esta en el directorio donde se ejecuta el .exe, ya que lo abre, pero sale el aviso queno encuentra la carpeta User1 (en el caso del windows 8.1) y el error de que no es una aplicacion win32 valida directamente no crea txt ni abre pdf, solo finaliza ahi.
Para asegurarme lo de la ruta, las dos opciones que coloque con "c:\\user\\" y "c:\\ ", te agradeceria si pudieras indecarme si estan bien o como decirle que incluyera el equipo completo (si es posible) o sea todos los discos que existieran y/o sus particiones.
Desde ya muchas gracias.
Sobre el Error en Windows XP: Si no me equivoco windows xp solo acepta hasta .NetFramework 4, el proyecto como Framework destino es: 4.5, lo que puedes hacer es cambiar a 4 o 3,5.
Sobre el Error en la Ruta: puede usar directamente:
System.Environment.GetFolderPath(Environment.SpecialFolder.Desktop)
Y respecto a que "incluyera el equipo completo":
puedes usar : System.IO.DriveInfo.GetDrives() -> https://msdn.microsoft.com/en-us/library/system.io.driveinfo.getdrives%28v=vs.110%29.aspx
Para poder listar los Discos en el Sistema:
foreach (var str in System.IO.DriveInfo.GetDrives())
{
if (str.DriveType != System.IO.DriveType.CDRom)
{
// Aqui pudes cifrar los archivos de los discos: encryptDirectory(str.Name, password);
}
}
CitarEl pdf esta en el directorio donde se ejecuta el .exe, ya que lo abre, pero sale el aviso queno encuentra la carpeta User1 (en el caso del windows 8.1) y el error de que no es una aplicacion win32 valida directamente no crea txt ni abre pdf, solo finaliza ahi.
El error de win32 como dijo
@fudmario (https://underc0de.org/foro/index.php?action=profile;u=30119) lo provoca net framework, cambialo o actualizalo.
CitarPara asegurarme lo de la ruta, las dos opciones que coloque con "c:\\user\\" y "c:\\ ", te agradeceria si pudieras indecarme si estan bien o como decirle que incluyera el equipo completo (si es posible) o sea todos los discos que existieran y/o sus particiones.
Desde ya muchas gracias.
Prueba con
C:\\Users\\ en mayuscula la C y la U y acabado en s. prueba y me cuentas. Los discos puedes hacer como dijo también
@fudmario (https://underc0de.org/foro/index.php?action=profile;u=30119).
Saludos.
Tengo una pregunta, tengo los codigos fuente, y edito todo como lo haces, pero al momento de compilarlo en visual studio 2013 todo perfecto y a la hora de ejecutarlo no ocurre nada. (tengo windows 10 x86)
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Tengo una pregunta, tengo los codigos fuente, y edito todo como lo haces, pero al momento de compilarlo en visual studio 2013 todo perfecto y a la hora de ejecutarlo no ocurre nada. (tengo windows 10 x86)
Ya te respondí por privado y está solucionado, para el resto, si le ocurre lo mismo, verificar que el directorio donde empieza a ejecutarse existe ^^
PD: No seáis malos!!!
Saludos.
hola, gracias por el tuto, queria preguntar, que visual studio necesito para compilarlo? me preguntaba si podria utilizar este visual studio https://code.visualstudio.com/download
Según las fuentes del archivo de solución (.sln) de Hidden-Tear, se ha utilizado la versión 12.0 (Visual Studio 2013), aunque no debería haber problema de abrir el proyecto con VS2015.
Visual Studio Code (https://code.visualstudio.com/) es solo un editor. Para compilar puedes utilizar Visual Studio (https://www.visualstudio.com/) o las mismas herramientas que brinda el Framework .NET a través de la línea de comandos.
Saludos
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Y respecto a que "incluyera el equipo completo":
puedes usar : System.IO.DriveInfo.GetDrives() -> https://msdn.microsoft.com/en-us/library/system.io.driveinfo.getdrives%28v=vs.110%29.aspx
Para poder listar los Discos en el Sistema:
foreach (var str in System.IO.DriveInfo.GetDrives())
{
if (str.DriveType != System.IO.DriveType.CDRom)
{
// Aqui pudes cifrar los archivos de los discos: encryptDirectory(str.Name, password);
}
}
Apliqué lo que dijiste . Información adicional: 'C: \ Documents and Settings' Se deniega el acceso a la ruta. (win 8.1 - Framework 4.5)
¿Cómo puedo solucionar este problema. ¿Puedes ayudar
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Y respecto a que "incluyera el equipo completo":
puedes usar : System.IO.DriveInfo.GetDrives() -> https://msdn.microsoft.com/en-us/library/system.io.driveinfo.getdrives%28v=vs.110%29.aspx (https://msdn.microsoft.com/en-us/library/system.io.driveinfo.getdrives%28v=vs.110%29.aspx)
Para poder listar los Discos en el Sistema:
foreach (var str in System.IO.DriveInfo.GetDrives())
{
if (str.DriveType != System.IO.DriveType.CDRom)
{
// Aqui pudes cifrar los archivos de los discos: encryptDirectory(str.Name, password);
}
}
Apliqué lo que dijiste . Información adicional: 'C: \ Documents and Settings' Se deniega el acceso a la ruta. (win 8.1 - Framework 4.5)
¿Cómo puedo solucionar este problema. ¿Puedes ayudar
Es posible que no tengas acceso y/o Privilegios al directorio en concreto, para tal situacion necesitaras ejecutar el archivo como administrador, si necesitas bypassear optarias por Portar alguno de los métodos de UACME (https://github.com/hfiref0x/UACME), otra forma fácil seria modificando el Archivo manifest.
<requestedprivileges>
<requestedexecutionlevel level="requireAdministrator" uiAccess="false"></requestedexecutionlevel>
</requestedprivileges>
Más información:
https://msdn.microsoft.com/en-us/library/bb756929.aspx (https://msdn.microsoft.com/en-us/library/bb756929.aspx)
https://msdn.microsoft.com/en-us/library/aa375632(v=vs.85).aspx (https://msdn.microsoft.com/en-us/library/aa375632(v=vs.85).aspx)
https://msdn.microsoft.com/en-us/library/aa374191(v=vs.85).aspx (https://msdn.microsoft.com/en-us/library/aa374191(v=vs.85).aspx)
Haces que todo se vea muy fácil! Gracias!