Configurando Hidden Tear (Offline)

Iniciado por blackdrake, Octubre 11, 2015, 09:51:34 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Octubre 11, 2015, 09:51:34 AM Ultima modificación: Marzo 19, 2016, 05:15:57 PM por blackdrake

Sigo con las publicaciones sobre este ransomware de código abierto, si no has leído la anterior, te recomiendo que lo hagas, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Para comenzar a configurar este malware, debemos descargar su código source, podemos hacerlo desde su repositorio oficial en github: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Mirror: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Para poder modificarlo y compilarlo, necesitaremos Visual Studio. Abriremos el proyecto que hay en el directorio "hidden-tear-offline", no tendremos problemas para entenderlo y modificar las cosas que queramos, pues el código está perfectamente comentado y muy bien estructurado.

Lo primero con lo que nos encontraremos, será donde se guardará la contraseña dentro del pc o usb, ya que el método que emplearemos es offline, en próximas publicaciones, explicaré en online.


A continuación, nos encontraremos con esta línea, en la que deberemos de escribir el nombre del fichero pdf que queremos que se abra, haciendo creer a la víctima, que realmente ha ejecutado el pdf.


En ese paso, podremos modificar la contraseña que queremos que cree aleatoriamente, aunque se puede modificar para dejarla fija.


Extensiones que se encriptarán, podemos suprimir alguna o bien, añadir más.


Este será el mensaje que dejaremos al usuario en el escritorio, dentro del fichero Read_it.txt


El método de cifrado de ficheros y la extensión que se utilizará.


Una vez sabemos como funciona, lo compilamos y comenzamos a probarlo.


Justo cuando lo ejecutamos, se nos abre nuestro fichero pdf (se me abre en el navegador pues en la virtual no tengo ningún visor.)


Una vez el malware hace su trabajo (dependiendo de los ficheros que tengamos, tardará más o menos), podremos comprobar que tenemos nuestros ficheros cifrados.


Puesto a que este es el método offline del ransomware, iremos al directorio de nuestro usuario, en mi caso: C:\Users\Pentesting y ahí encontraremos un txt con la contraseña que necesitamos para recuperar nuestros ficheros.


Utilizando otro proyecto llamado hidden-tear-decrypter (también en github), podremos recuperar los ficheros, utilizando esta contraseña.

Nota: Si alguien le editó la extensión .locked, deberá modificar esta línea escribiendo la extensión que utilizó.



Y tenemos nuestros ficheros de nuevo!


Agradecimientos: Windux por haberme pasado el enlace de github de este proyecto.

Ver post en el blog: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En la siguiente entrega, explicaré como modificar y configurar el malware con su método Online.




@No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Como bien nos tienes acostumbrados, tus aportes claros, didácticos e idóneos para los que estamos aprendiendo.
Gracias por tu trabajo y por ese tiempo para compartir, que bien sé que hoy por hoy, es muy es escaso.

Gabi
Tú te enamoraste de mi valentía, yo me enamoré de tu oscuridad; tú aprendiste a vencer tus miedos, yo aprendí a no perderme en tu abismo.

Buen post bro, pero el que "extorsiona" a su victima lo hace por algún medio?? o solo con ese mensaje que está configurado en el malware, porque aquí en mi país perú, no dudan y sin perder tiempo lo llevan al técnico a que formatee todos sus discos xDDDD , creo que mejor sería ponerse en contacto con la victima por facebook y negociar con la victima a que me haga una recarga al celular por 3 pesos xDDDD Y le doy la pass.... bueno para una broma está bueno, pero para hacer maldades no va  :P

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Buen post bro, pero el que "extorsiona" a su victima lo hace por algún medio?? o solo con ese mensaje que está configurado en el malware, porque aquí en mi país perú, no dudan y sin perder tiempo lo llevan al técnico a que formatee todos sus discos xDDDD , creo que mejor sería ponerse en contacto con la victima por facebook y negociar con la victima a que me haga una recarga al celular por 3 pesos xDDDD Y le doy la pass.... bueno para una broma está bueno, pero para hacer maldades no va  :P

Puedes añadir el mensaje que quieras al txt que se genera.

Formatear? Básicamente los ransomware existen porque hay ciertos datos que no se pueden perder, si formateas, de que sirve, estás en las mismas, a ti quizás no te afecte tanto, pero a las empresas si y mucho.

Saludos.



Hola a todos. Tengo algunas dudas sobre el hidden tear. He estado haciendo algunas pruebas, pero al parecer, algo mal debo estar haciendo, o no funciona como debería.

DUDAS:

1- Si modifico el tiempo de ejecución (por defecto vienen 40000 mili segundos o 40 segundos) y lo aumento a digamos 3 horas, teóricamente el hidden tear se ejecutaría luego de ese tiempo, pero que sucedería si antes de ese tiempo, alguien reiniciara el ordenador:
   a- el timer se detendría, y no iniciaría el proceso? (seria necesario ejecutar nuevamente el hidden tear)
   b- el timer se reiniciaría, y las 3 horas comenzarían a contar nuevamente desde que el ordenador se reinicio?
   c- el timer solo se detendría y completaría el ciclo luego de reiniciado?
   d- en cualquiera de los casos, para que se ejecute el proceso es necesario que el pen drive este colocado?


Procedo a detallar,a ver si alguien puede orientarme en que estoy haciendo mal.

1- Al intentar ejecutar el hidden tear en un ordenador con windows xp, el archivo .exe no se ejecuta y sale un mensaje que dice que el archivo.exe (como sea que lo han renombrado) no es una aplicación win32 valida...

2- A intentar ejecutar en windows 8.1, me dice que no puede encontrar la carpeta User1, y no se ejecuta. Esto lo hace sin importar el destino que coloque ("c:\\" o "c:\\user\\")

En todos los casos crea el txt con la key para desbloquear los archivos que supuestamente seran encriptados, pero no encripta nada, ya que luego de ese error, todo el proceso se detiene.

Desde ya muchas gracias por su ayuda.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Hola a todos. Tengo algunas dudas sobre el hidden tear. He estado haciendo algunas pruebas, pero al parecer, algo mal debo estar haciendo, o no funciona como debería.


Citar1- Si modifico el tiempo de ejecución (por defecto vienen 40000 mili segundos o 40 segundos) y lo aumento a digamos 3 horas, teóricamente el hidden tear se ejecutaría luego de ese tiempo, pero que sucedería si antes de ese tiempo, alguien reiniciara el ordenador:

Ocurriría lo que dices en tu opción A; a no ser que le añadas persistencia y autorun con algún crypter que en tal caso, volvería a iniciar el timer y debería esperar las 3 horas...

Citar1- Al intentar ejecutar el hidden tear en un ordenador con windows xp, el archivo .exe no se ejecuta y sale un mensaje que dice que el archivo.exe (como sea que lo han renombrado) no es una aplicación win32 valida...

2- A intentar ejecutar en windows 8.1, me dice que no puede encontrar la carpeta User1, y no se ejecuta. Esto lo hace sin importar el destino que coloque ("c:\\" o "c:\\user\\")

Seguramente ambos errores sean por lo mismo, error de ejecución.

Verifica que las rutas estén bien, sobre todo, que tengas el .pdf en el directorio donde se ejecuta el .exe (o esté bien en la ruta).

Saludos y comenta de nuevo tus dudas/errores.



Muchas gracias por tu respuesta:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Hola a todos. Tengo algunas dudas sobre el hidden tear. He estado haciendo algunas pruebas, pero al parecer, algo mal debo estar haciendo, o no funciona como debería.


Citar1- Si modifico el tiempo de ejecución (por defecto vienen 40000 mili segundos o 40 segundos) y lo aumento a digamos 3 horas, teóricamente el hidden tear se ejecutaría luego de ese tiempo, pero que sucedería si antes de ese tiempo, alguien reiniciara el ordenador:

Ocurriría lo que dices en tu opción A; a no ser que le añadas persistencia y autorun con algún crypter que en tal caso, volvería a iniciar el timer y debería esperar las 3 horas...

Citar1- Al intentar ejecutar el hidden tear en un ordenador con windows xp, el archivo .exe no se ejecuta y sale un mensaje que dice que el archivo.exe (como sea que lo han renombrado) no es una aplicación win32 valida...

2- A intentar ejecutar en windows 8.1, me dice que no puede encontrar la carpeta User1, y no se ejecuta. Esto lo hace sin importar el destino que coloque ("c:\\" o "c:\\user\\")

Seguramente ambos errores sean por lo mismo, error de ejecución.

Verifica que las rutas estén bien, sobre todo, que tengas el .pdf en el directorio donde se ejecuta el .exe (o esté bien en la ruta).

Saludos y comenta de nuevo tus dudas/errores.

El pdf esta en el directorio donde se ejecuta el .exe, ya que lo abre, pero sale el aviso queno encuentra la carpeta User1 (en el caso del windows 8.1)  y el error de que no es una aplicacion win32 valida directamente no crea txt ni abre pdf, solo finaliza ahi.
Para asegurarme lo de la ruta, las dos opciones que coloque con "c:\\user\\"  y "c:\\ ", te agradeceria si pudieras indecarme si estan bien o como decirle que incluyera el equipo completo (si es posible) o sea todos los discos que existieran y/o sus particiones.
Desde ya muchas gracias.

Diciembre 09, 2015, 09:07:59 PM #7 Ultima modificación: Diciembre 09, 2015, 09:13:10 PM por fudmario
Sobre el Error en Windows XP: Si no me equivoco windows xp solo acepta hasta .NetFramework 4, el proyecto como Framework destino es: 4.5, lo que puedes hacer es cambiar a 4 o 3,5.

Sobre el Error en la Ruta:  puede usar directamente:
Código: csharp

System.Environment.GetFolderPath(Environment.SpecialFolder.Desktop)

Y respecto a que "incluyera el equipo completo":
puedes usar  : System.IO.DriveInfo.GetDrives() -> No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Para poder listar los Discos en el Sistema:
Código: csharp

foreach (var str in System.IO.DriveInfo.GetDrives())
            {
                if (str.DriveType != System.IO.DriveType.CDRom)
                {
                 // Aqui pudes cifrar los archivos de los discos: encryptDirectory(str.Name, password);                   
                }
            }





CitarEl pdf esta en el directorio donde se ejecuta el .exe, ya que lo abre, pero sale el aviso queno encuentra la carpeta User1 (en el caso del windows 8.1)  y el error de que no es una aplicacion win32 valida directamente no crea txt ni abre pdf, solo finaliza ahi.

El error de win32 como dijo @No tienes permitido ver enlaces. Registrate o Entra a tu cuenta lo provoca net framework, cambialo o actualizalo.


CitarPara asegurarme lo de la ruta, las dos opciones que coloque con "c:\\user\\"  y "c:\\ ", te agradeceria si pudieras indecarme si estan bien o como decirle que incluyera el equipo completo (si es posible) o sea todos los discos que existieran y/o sus particiones.
Desde ya muchas gracias.

Prueba con C:\\Users\\ en mayuscula la C y la U y acabado en s. prueba y me cuentas. Los discos puedes hacer como dijo también @No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Saludos.



Tengo una pregunta, tengo los codigos fuente, y edito todo como lo haces, pero al momento de compilarlo en visual studio 2013 todo perfecto y a la hora de ejecutarlo no ocurre nada. (tengo windows 10 x86)

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Tengo una pregunta, tengo los codigos fuente, y edito todo como lo haces, pero al momento de compilarlo en visual studio 2013 todo perfecto y a la hora de ejecutarlo no ocurre nada. (tengo windows 10 x86)

Ya te respondí por privado y está solucionado, para el resto, si le ocurre lo mismo, verificar que el directorio donde empieza a ejecutarse existe ^^

PD: No seáis malos!!!

Saludos.



hola, gracias por el tuto, queria preguntar, que visual studio necesito para compilarlo? me preguntaba si podria utilizar este visual studio No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Según las fuentes del archivo de solución (.sln) de Hidden-Tear, se ha utilizado la versión 12.0 (Visual Studio 2013), aunque no debería haber problema de abrir el proyecto con VS2015.

Visual Studio Code (No tienes permitido ver enlaces. Registrate o Entra a tu cuenta) es solo un editor. Para compilar puedes utilizar Visual Studio (No tienes permitido ver enlaces. Registrate o Entra a tu cuenta) o las mismas herramientas que brinda el Framework .NET a través de la línea de comandos.

Saludos

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Y respecto a que "incluyera el equipo completo":
puedes usar  : System.IO.DriveInfo.GetDrives() -> No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Para poder listar los Discos en el Sistema:
Código: csharp

foreach (var str in System.IO.DriveInfo.GetDrives())
            {
                if (str.DriveType != System.IO.DriveType.CDRom)
                {
                 // Aqui pudes cifrar los archivos de los discos: encryptDirectory(str.Name, password);                   
                }
            }


Apliqué lo que dijiste . Información adicional: 'C: \ Documents and Settings' Se deniega el acceso a la ruta. (win 8.1 - Framework 4.5)
¿Cómo puedo solucionar este problema. ¿Puedes ayudar

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Y respecto a que "incluyera el equipo completo":
puedes usar  : System.IO.DriveInfo.GetDrives() -> No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Para poder listar los Discos en el Sistema:
Código: csharp

foreach (var str in System.IO.DriveInfo.GetDrives())
            {
                if (str.DriveType != System.IO.DriveType.CDRom)
                {
                 // Aqui pudes cifrar los archivos de los discos: encryptDirectory(str.Name, password);                   
                }
            }


Apliqué lo que dijiste . Información adicional: 'C: \ Documents and Settings' Se deniega el acceso a la ruta. (win 8.1 - Framework 4.5)
¿Cómo puedo solucionar este problema. ¿Puedes ayudar

Es posible que no tengas acceso y/o Privilegios al directorio en concreto, para tal situacion necesitaras ejecutar el archivo como administrador, si necesitas bypassear optarias por Portar alguno de los métodos de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, otra forma fácil seria modificando el Archivo manifest.

Código: text

<requestedprivileges>
            <requestedexecutionlevel level="requireAdministrator" uiAccess="false"></requestedexecutionlevel>
</requestedprivileges>


Más información:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta



Febrero 24, 2018, 02:23:34 PM #15 Ultima modificación: Febrero 27, 2018, 11:50:46 AM por Manzana
Haces que todo se vea muy fácil! Gracias!