Ransomware
Mostrando entradas con la etiqueta Ransomware. Mostrar todas las entradas
Mostrando entradas con la etiqueta Ransomware. Mostrar todas las entradas

Configurando Hidden Tear (Online)



Siguiendo con las publicaciones sobre este ransomware de código abierto, si no has leído las anteriores, te recomiendo que lo hagas:

Configurando Hidden Tear Offline

Información sobre Hidden Tear

Para comenzar a configurar este malware, debemos descargar su código source, podemos hacerlo desde su repositorio oficial en github: https://github.com/utkusen/hidden-tear

Para poder modificarlo y compilarlo, necesitaremos Visual Studio. Abriremos el proyecto que hay en el directorio "hidden-tear", no tendremos problemas para entenderlo y modificar las cosas que queramos, pues el código está perfectamente comentado y muy bien estructurado.

Lo primero que vemos, es a que url enviará el ransomware la información del ordenador y la contraseña, para ello, debemos poner nuestra url y tener el archivo php que se encargue de recibir los datos correctamente creado y con los permisos adecuados.







Ambos ficheros deberán tener permisos de escritura.

En ese paso, podremos modificar la contraseña que queremos que cree aleatoriamente, aunque se puede modificar para dejarla fija.


Aquí podremos elegir que se envía a nuestro fichero php y por tanto se guarda en los logs.


El método de cifrado de ficheros y la extensión que se utilizará.


Extensiones que se encriptarán, podemos suprimir alguna o bien, añadir más.


En que directorio se guardará el txt con el mensaje que queremos dejar y empezará a ejecutar el ransomware, es muy importante que exista el directorio o dará un error cuando la víctima lo ejecute. 


Compilamos y se lo enviamos a la víctima.

Por desgracia, Hidden-Tear ya no es fud (Fully UnDetectable).


Como cualquier malware, se puede pasar por un crypter para evitar que sea detectado.




Ejecutamos Hidden Tear y comprobamos que nuestros ficheros se han cifrado con la extensión .locked


Vamos a nuestro fichero de logs y conseguimos la contraseña para recuperar nuestros ficheros.


Utilizando otro proyecto llamado hidden-tear-decrypter (también en github), podremos recuperar los ficheros, utilizando esta contraseña.

Nota: Si alguien le editó la extensión .locked, deberá modificar esta línea escribiendo la extensión que utilizó.




Y tenemos nuestros ficheros de nuevo!
Read More

Configurando Hidden Tear (Offline)






Sigo con las publicaciones sobre este ransomware de código abierto, si no has leído la anterior, te recomiendo que lo hagas, puedes acceder desde aquí.


Para comenzar a configurar este malware, debemos descargar su código source, podemos hacerlo desde su repositorio oficial en github: https://github.com/utkusen/hidden-tear


Para poder modificarlo y compilarlo, necesitaremos Visual Studio. Abriremos el proyecto que hay en el directorio "hidden-tear-offline", no tendremos problemas para entenderlo y modificar las cosas que queramos, pues el código está perfectamente comentado y muy bien estructurado.

Lo primero con lo que nos encontraremos, será donde se guardará la contraseña dentro del pc o usb, ya que el método que emplearemos es offline, en próximas publicaciones, explicaré en online.


A continuación, nos encontraremos con esta línea, en la que deberemos de escribir el nombre del fichero pdf que queremos que se abra, haciendo creer a la víctima, que realmente ha ejecutado el pdf.


En ese paso, podremos modificar la contraseña que queremos que cree aleatoriamente, aunque se puede modificar para dejarla fija.

Extensiones que se encriptarán, podemos suprimir alguna o bien, añadir más.


Este será el mensaje que dejaremos al usuario en el escritorio, dentro del fichero Read_it.txt


El método de cifrado de ficheros y la extensión que se utilizará.


Una vez sabemos como funciona, lo compilamos y comenzamos a probarlo.


Justo cuando lo ejecutamos, se nos abre nuestro fichero pdf (se me abre en el navegador pues en la virtual no tengo ningún visor.)




Una vez el malware hace su trabajo (dependiendo de los ficheros que tengamos, tardará más o menos), podremos comprobar que tenemos nuestros ficheros cifrados.


Puesto a que este es el método offline del ransomware, iremos al directorio de nuestro usuario, en mi caso: C:\Users\Pentesting y ahí encontraremos un txt con la contraseña que necesitamos para recuperar nuestros ficheros.




Utilizando otro proyecto llamado hidden-tear-decrypter (también en github), podremos recuperar los ficheros, utilizando esta contraseña.

Nota: Si alguien le editó la extensión .locked, deberá modificar esta línea escribiendo la extensión que utilizó.





Y tenemos nuestros ficheros de nuevo!




Agradecimientos: Windux por haberme pasado el enlace de github de este proyecto.

En la siguiente entrega, explicaré como modificar y configurar el malware con su método Online.
Read More

Hidden Tear el primer Ransomware Open Source




¿Qué es un ransomware? 

 El ransomware es el tipo de malware más peligroso de los últimos tiempos.

Cuando este malware infecta un ordenador genera una clave única que envía a los servidores del ciberdelincuente y comienza a cifrar los archivos del usuario. Cuando finaliza muestra un mensaje que indica que los archivos se han cifrado y que se debe pagar un rescate para recuperarlos o, de lo contrario, se perderán para siempre.

El código de los ransomware suelen ser privados y de código cerrado, estando sólo controladas por los los ciberdelincuentes, a diferencia de los demás, este, se distribuye como código abierto y sólo para fines educativos.

Como dice en el repositorio oficial del software: https://github.com/utkusen/hidden-tear sus principales características de Hidden Tear son:


  • Utiliza un cifrado AES para secuestrar los archivos del usuario.
  • Muestra un mensaje similar al que muestran las piezas de malware más peligrosas cuando la infección y el cifrado se completan.
  • Envía la clave de cifrado a un servidor remoto.
  • Genera un archivo de texto en el escritorio con el correspondiente mensaje.
  • Ocupa tan sólo 12KB.
  • Es indetectable por algunos antivirus actuales.
Además, este ransomware cuenta con dos versiones, online y offline.

Vídeo de su funcionamiento (Online):



Vídeo de su funcionamiento (Offline):



En las siguientes entregar veremos como configurarlo.
Read More
Suscribirse a: Entradas (Atom)