Definición:
¿Qué es un
ransomware?
El ransomware es el
tipo de malware más peligroso de los últimos tiempos.
Cuando este malware
infecta un ordenador genera una clave única que envía a los
servidores del ciberdelincuente y comienza a cifrar los archivos del
usuario. Cuando finaliza muestra un mensaje que indica que los
archivos se han cifrado y que se debe pagar un rescate para
recuperarlos o, de lo contrario, se perderán para siempre.
El código de los
ransomware suelen ser privados y de código cerrado, estando sólo
controladas por los los ciberdelincuentes, a diferencia de los demás,
este, se distribuye como código abierto y sólo para fines
educativos.
Como dice en el
repositorio oficial del software:
https://github.com/utkusen/hidden-tear sus principales
características son:
Utiliza un
cifrado AES para secuestrar los archivos del usuario.
Muestra un
mensaje similar al que muestran las piezas de malware más peligrosas
cuando la infección y el cifrado se completan.
Envía la clave
de cifrado a un servidor remoto.
Genera un
archivo de texto en el escritorio con el correspondiente mensaje.
Ocupa tan sólo
12KB.
Es indetectable
por algunos antivirus actuales.
Además, este
ransomware cuenta con dos versiones, online y offline.
El proyecto ha sido eliminado, y ya no está disponible su descarga, alfinal de la entrada os dejo un link donde podéis descargarlo.
Requisitos:
Visual Studio
Configurar Hidden Tear Offline
Para poder
modificarlo y compilarlo, necesitaremos Visual Studio. Abriremos el
proyecto que hay en el directorio “hidden-tear-offline”, no
tendremos problemas para entenderlo y modificar las cosas que
queramos, pues el código está perfectamente comentado y muy bien
estructurado.
Lo primero con lo
que nos encontraremos, será donde se guardará la contraseña dentro
del pc o usb, ya que el método que emplearemos es offline.
A continuación, nos
encontraremos con esta línea, en la que deberemos de escribir el
nombre del fichero pdf que queremos que se abra, haciendo creer a la
víctima, que realmente ha ejecutado el pdf.
En ese paso,
podremos modificar la contraseña que queremos que cree
aleatoriamente, aunque se puede modificar para dejarla fija.
Extensiones que se
encriptarán, podemos suprimir alguna o bien, añadir más.
Este será el
mensaje que dejaremos al usuario en el escritorio, dentro del fichero
Read_it.txt
El método de
cifrado de ficheros y la extensión que se utilizará.
Una vez sabemos como
funciona, lo compilamos y comenzamos a probarlo.
Una vez el malware
hace su trabajo (dependiendo de los ficheros que tengamos, tardará
más o menos), podremos comprobar que tenemos nuestros ficheros
cifrados.
Puesto a que este es
el método offline del ransomware, iremos al directorio de nuestro
usuario, en mi caso: C:\Users\Pentesting y ahí encontraremos un txt
con la contraseña que necesitamos para recuperar nuestros ficheros
Utilizando otro
proyecto llamado hidden-tear-decrypter (también en github), podremos
recuperar los ficheros, utilizando esta contraseña.
Nota: Si alguien le
editó la extensión .locked, deberá modificar esta línea
escribiendo la extensión que utilizó.
Y tenemos nuestros
ficheros de nuevo!
Configurar Hidden tear Online
Para poder
modificarlo y compilarlo, necesitaremos Visual Studio. Abriremos el
proyecto que hay en el directorio “hidden-tear”, no tendremos
problemas para entenderlo y modificar las cosas que queramos, pues el
código está perfectamente comentado y muy bien estructurado.
Lo primero que
vemos, es a que url enviará el ransomware la información del
ordenador y la contraseña, para ello, debemos poner nuestra url y
tener el archivo php que se encargue de recibir los datos
correctamente creado y con los permisos adecuados.
En ese paso,
podremos modificar la contraseña que queremos que cree
aleatoriamente, aunque se puede modificar para dejarla fija.
Aquí podremos
elegir que se envía a nuestro fichero php y por tanto se guarda en
los logs.
El método de
cifrado de ficheros y la extensión que se utilizará.
Extensiones que se
encriptarán, podemos suprimir alguna o bien, añadir más.
En que directorio se
guardará el txt con el mensaje que queremos dejar y empezará a
ejecutar el ransomware, es muy importante que exista el directorio o
dará un error cuando la víctima lo ejecute. Además, tener en
cuenta de que si empieza en el Escritorio, no afectará a directorios
superiores, para afectar a todo el disco habrá que ejecutarlo en la
raiz de C:\ o bien el directorio que nosotros queramos.
Compilamos y se lo
enviamos a la víctima.
Por desgracia,
Hidden-Tear ya no es fud (Fully UnDetectable).
Como cualquier
malware, se puede pasar por un crypter para evitar que sea detectado.
Ejecutamos Hidden
Tear y comprobamos que nuestros ficheros se han cifrado con la
extensión .locked
Vamos a nuestro
fichero de logs y conseguimos la contraseña para recuperar nuestros
ficheros.
Utilizando otro
proyecto llamado hidden-tear-decrypter (también en github), podremos
recuperar los ficheros, utilizando esta contraseña.
Nota: Si alguien le
editó la extensión .locked, deberá modificar esta línea
escribiendo la extensión que utilizó.
Y tenemos nuestros ficheros de nuevo!
Este artículo ha sido sacado de: https://underc0de.org/foro/profile/blackdrake/
0 comentarios: