Cryptonite Un Ransomware para Windows
Cryptonite Un Ransomware para Windows

Cryptonite: Un Ransomware para Windows

Cryptonite ha sido desarrollado con el objetivo de conseguir el máximo rendimiento con el mínimo esfuerzo. Cualquiera puede aprender a utilizar Cryptonite.

Se ha incluido dos versiones de Cryptonite. Una que almacena los datos utilizando Sqlite3 y la otra que utiliza Mongo DB Atlas para empujar los resultados en la nube. El método por defecto es usar Sqlite3, pero si estás interesado en usar la versión Mongo DB de Cryptonite entonces cambia a la branch/rama mongo de este repositorio.

Los siguientes pasos te guiarán para usar Cryptonite en detalle (sujeto a cambios a medida que añada nuevos conceptos):-

Lista de Tareas

  • Cifrar todos los archivos excepto los específicos del sistema
  • El cifrado sólo debe ser descifrado con una clave especial
  • Enviar las credenciales de la víctima al atacante a través de un túnel seguro, preferiblemente NGROK
  • Tras el cifrado debe aparecer un cuadro emergente pidiendo el rescate
  • Crear un servidor para recuperar la información enviada por la víctima
  • Añadir una extensión personalizada a los archivos encriptados
  • Crear un generador de archivos exe
  • Interfaz gráfica de usuario (lado de la víctima)
  • Interfaz gráfica de usuario (lado del atacante)
  • Crear un script de bypass de Windows Defender

Cryptonite en Acción

Configuración

Si es la primera vez que utilizas Cryptonite, deberás realizar las siguientes configuraciones.

  • Crear una cuenta NGROK
  • Visita NGROK
  • Regístrate para obtener una cuenta. Si puedes disponer de algo de dinero, compra la versión premium. Si no, la versión gratuita será suficiente.
  • Inicia sesión en NGROK
  • Descarga la versión adecuada de NGROK para tu sistema operativo.
Descargar NGROK para tu sistema operativo
Descargar NGROK para tu sistema operativo
  • Descomprimir e instalar NGROK.
    • Para los usuarios de Linux / MAC, descomprimir la carpeta a través de la terminal: unzip /path/to/ngrok.zip.
    • Para los usuarios de Windows, simplemente descomprimir la carpeta
    • Asegúrate de añadir ngrok al PATH
  • Autentifica tu NGROK:-
    • Copia tu AUTH TOKEN de la página de configuración de NGROK (Aquí)
    • Para los usuarios de Windows, abre cmd y escribe (sustituye YOUR_AUTH_TOKEN_HERE por tu authtoken):
ngrok authtoken YOUR_AUTH_TOKEN_HERE
    • Para los usuarios de Linux / MAC, abre el terminal y escribe (sustituye YOUR_AUTH_TOKEN_HERE por tu authtoken):
./ngrok authtoken YOUR_AUTH_TOKEN_HERE

Instalar los requerimientos de Python para Cryptonite:

pip install -r "requirements.txt"  

Desplegar Servidor

Ejecute el archivo Server.py antes de enviar el ransomware a las víctimas. El Server.py inicia el servidor para recibir los datos de las víctimas enviados por Cryptonite y crea un túnel NGROK que realiza el reenvío de puertos para que cualquier persona de todo el mundo pueda acceder a nuestro servidor. Al ejecutar Server.py también se crea un archivo DB para almacenar la información de las víctimas.

Nota

Asegúrate de que Server.py se ejecuta todo el tiempo.

Copia la URL de NGROK generada en la terminal. Será útil en el siguiente paso.

Rellenar Datos

Ejecuta exeGen.py y rellena los datos necesarios.

Por defecto, Cryptonite va a cifrar el contenido de la carpeta llamada testfolder que se encuentra en el directorio donde se ejecuta Cryptonite.py. Pero, si quieres especificar alguna ruta diferente, por ejemplo todo el sistema, entonces asegúrate de editar esta línea (ver abajo) sustituyendo ./testfolder por / antes de ejecutar Cryptonite.py. No olvides guardar cambios en Cryptonite.py.

[...] 
  for root, dir, file in os.walk('./testfolder'):
[...]

La ejecución de exeGen.py creará un archivo exe que puede ser enviado a la víctima.

Testear en tu Ordenador

Créeme cuando digo esto… Puedes probar con seguridad este Ransomware en tu dispositivo siempre y cuando mencionas la ruta correcta a la carpeta que estás probando. Ya he creado una carpeta de prueba y la ruta también se ha dado. Así que es más fácil para que puedas ver por ti mismo. Lo que tienes que hacer es ejecutar Server.py, ejecutar Cryptonite.py y ver cómo se produce la magia. Si deseas crear tu propia carpeta y probarla allí, entonces menciona la ruta absoluta de la carpeta en lugar de ./testfolder.

No coloques la carpeta base (/) para propósitos de prueba

Nunca des la carpeta base para hacer pruebas, ya que iniciará el cifrado de todos los archivos (excepto los archivos dentro de estas carpetas). Por favor, abstente de utilizar la carpeta base a menos que estés absolutamente seguro de lo que estás haciendo.

Para estar más seguro, ya se ha creado una carpeta de pruebas y se ha establecido el valor por defecto de la Ruta de la Carpeta de Cifrado en testfolder. Por lo tanto, incluso si accidentalmente ejecutas este ransomware, sólo cifrará la carpeta de pruebas y no todo el sistema.

Enviarlo a “Víctimas”

Después de haber probado este Ransomware, pretendemos enviarlo a las víctimas en forma de archivo .exe. Existe un script Python exeGen.py que generará un archivo exe de nombre personalizado. Por defecto el nombre sería WindowsUpdate.exe. Pero, puedes cambiarlo cuando quieras usando exeGen.py.

Recuerda que la creación de un exe tardará bastante tiempo (¡hasta cinco minutos!), por lo tanto, relájate y espera el proceso y no cierres exeGen.py durante la generación del archivo exe. exeGen se cerrará automáticamente después de que se haya generado el archivo exe.

Cosas a tener en cuenta antes de enviar el archivo .exe

  • Asegúrate de que la ruta de la carpeta de cifrado se cambie de ./testfolder a / (si vas a realizar un cifrado en todo el sistema) o cualquier ruta de carpeta de tu elección.
  • Todos los detalles deben ser rellenados correctamente.
  • NGROK y el Server.py deben ejecutarse todo el tiempo. Si no se ejecutan, el ransomware no podrá cifrar los archivos (se mostrará una ventana emergente de error de red en la pantalla de la víctima y el ransomware terminará).

Vídeo Centro de Comandos

Un tablero de monitoreo (Command Center) todo en uno creado para entender el nivel de destrucción causado por este ransomware. El atacante puede conocer la ubicación de sus víctimas trazada en un mapa con gran precisión. Su dirección IP, nombre de host, lugar y otra información se almacenan en una base de datos y se presentan al atacante en una tabla ordenada. También se han añadido funciones de búsqueda y eliminación. Agarra una taza de café y dale un sorbo mientras Cryptonite hace todo el trabajo duro.

Puntos a tener en cuenta…

Se puede acceder al Cryptonite Command Center ejecutando el archivo CommandCenter.py.
Utiliza siempre el botón incorporado RELOAD para recargar el Command Center en caso de que los valores no coincidan.

Dark Mode

Cryptonite (este enlace se abre en una nueva ventana) por CYBERDEVILZ (este enlace se abre en una nueva ventana)

Fully functional ransomware developed solely using Python that uses minimum resources to give maximum output.

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda