Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

El negocio del Malware - Extorsión criptoviral

El negocio del Malware Versión 1.0

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of El negocio del Malware - Extorsión criptoviral

Extorsión Criptoviral
El negocio del Malware v1.0
Juan Carlos Ruiloba © 2013




Juan Carlos Ruiloba
juancrui@sit1.es
@juancrui
blog.sit1.es
www.sit1.es
Contexto
Malware
Virus
Gusanos
Troyanos
Rootkits
Drive-by Downloads
Backdoors
Botnets
Spyware
Adware
Hijacking
Keyloggers
Stealers
ScreenGrabbers
Otros
Herramientas utilizadas por ciberdelincuentes para obtener beneficios
Mercado de alquiler y venta de malware
Infecioso
Oculto
Publicidad
Robar
información
RogueWare
Ransomware
Dinamismo de la Tecnología
Desconocimiento del usuario
Inseguridad del Sistema
Potencial victima
Pero...
¿realmente el equipo ha quedado limpio?
introducimos el código para desbloquear el equipo
Compramos una tarjeta Ukash
Esto no solo pasa en España: es global, exclusivo, dirigido, organizado
Tenemos que mirar más profundamente ...
... y tenemos que retroceder en el tiempo para ver como ha llegado esta situación
Miremos en el Underground como funciona este Negocio
En el principio el malware era un juego de Guerras entre Geeks
Hoy en día se ha convertido en una fuente de ingresos del Crimen Organizado siendo armas que utilizan para obtener beneficios directos o, más habitúal, comercializando con la venta y alquiler de su acción
Exploit Kits
BlackHole Exploit Kit
...
Phoenix
Neosploit
Blackhole Exploit Kit:

La compañía de Seguridad Sophos en su informe de amenazas del 2013 definía a Blackhole como una herramienta que combinaba una destreza técnica como un modelo empresarial.

http://www.sophos.com/en-us/medialibrary/PDFs/technical%20papers/sophosblackholeexploitkit.pdf?dl=true

Realmente es un prodigio de ingeniería que
identifican y explotan las vulnerabilidades del software
de los equipos y así instalar en ellos cargas de terceros como pueden ser Ransomware, Roguewares, Zeus, Rootkits como TDSS y ZeroAccess.

Además Blackhole es multiplataforma, es decir sirve para MS Windows, Mac OS X y Linux, vamos que aboga por la igualdad.
De octubre de 2011 a marzo de 2012 cerca del 30 % de las amenazas detectadas por Sophos procedían de Blackhole o redirigían al mismo desde sitios lícitos secuestrados.







El modelo de negocio se basa en:

Este software se pone a disposición de terceros en forma de alquiler como servicio.
En sus condiciones especifica las tarifas de alquiler por semana, como los extras de servicios adicionales.
También durante la suscripción todas las actualizaciones del software están incluidas.

El alquilar servidores Blackhole no es imprescindible puesto que se pueden utilizar servidores propios adquiriendo licencias de mayor duración, eso sí:

¡¡¡¡¡el paquete que te proporcionan está protegido para evitar su copia y que le salgan competidores!!!!!






Esta línea de negocio permite que los creadores de Blackhole no infecten tu máquina sino que ponen a disposición de terceros la herramienta para que a través de la misma infecten tu máquina a través de los informes que Blackhole genera puede determinarse que malware o versión de este se adapta mejor al equipo a atacar.

La distribución de malware que utilizan los kits de exploits Blackhole, arrojaba en el periodo de Agosto-Septiembre del 2012 que los Rasomware estaban solo por detrás del kit Zeus/ Zbot (troyano más notorio en el robo de información) con un 18%.
Funcionamiento BlackHole
1) Envío del los usuarios a un sitio de exploits Blackhole
2) Carga del código infectado a partir de la página de destino
3) Entrega de la carga
4) Seguimiento, aprendizaje y mejora
s
Los cibercriminales hackean un WS legítimo e introducen código malicioso que genera enlaces a WS Blackhole.

Al visitar otro usuario el sitio infectado procede a efectuar de forma automática del servidor Blackhole el código kit de explotación.

Estos sitios que alojan Blackhole utilizan técnicas de migración a través de la configuración de los DNS.
Ya en el servidor Blackhole, el navegador absorbe el contenido del kit de explotación.

Primero identifica la procedencia de la víctima para saber a qué socio darle la comisión, igual que lo haría una mercantil a sus comerciales.

Segundo identifica el navegador que utiliza la victima para detectar el SO, la versión y si existen complementos Flash, PDF, Java instalados.

Por último carga el código del exploit a través del motor Java Open Business Engine.

Cuando ya ha conseguido entrar en el sistema de la víctima, Blackhole puede entregar la carga indicada.

Estas cargas suelen ser polimórficas y de esa forma ser diferentes en cada equipo infectado. Las técnicas de camuflaje del código y el polimorfismo que aplica el servidor hacen más indetectables ante los programas de seguridad. Además el control centralizado estricto puede implementar actualizaciones con gran celeridad.
Blackhole registra el funcionamiento de los exploits en combinación con los navegadores, SO y complementos. De esa forma pueden ver eficacias de los mismos y aplicar las mejoras para actualizar el kit.

Blackhole está al corriente de las vulnerabilidades 0days para incorporarlas a su kit y de esa forma antes de que existan o se instalen los parches al mismo poder hacerse con el control de las víctimas.
Principales vias de infección a un usuario con un Exploit Kit.

1) Colocar el Exploit Kit en un servidor, y realizar una campaña de SPAM, de manera que cuando el usuario legítimo reciba el correo y haga click en el enlace quede infectado por el Exploit Kit. (Ingeniería Social)

2) Comprometer un host legítimo, y hacer que el usuario se infecte.
¿Cómo es su código?
El kit es un conjunto de scripts PHP diseñados para correr en un servidor Web y protegido a través del encoder comercial ionCube, para evitar que un tercero copie el mismo
Características Comunes de los Exploits Kits
Origen Ruso
Opciones de configuración para parametros usuales:
cadenas de búsqueda
Rutas de archivos
URLs de redireccionamiento
Usernames, passwords
Backend MySQL
BlackList/Bloqueos
Solo una acción por IP
Mantener una blacklists
BlackLists por URL de referencia
Importar rangos de Blacklists
Autoactualización
Consola de administración con estadística de las infecciones existosa a nivel:
Por exploit
Por Sistema Operativo
Por País
Por afiliado/socio (responsable de dirigir al usuario al exploit kit)
Por navegador
Objetivos a través de una gran variedad de vulnerailidades de clientes
Opcionalmente (es un negocio) complemento de AV a través de dos servicios
Características Propias de Blackhole:
Módelo de alquiler (Antes los Exploits Kits se vendías y el comprador lo utilizaba a su deseo) Blackhole incluye varias opciones de alquiler por el uso del exploit, pero también tiene posibilidad de adquirir licencias.
Precios de la primera versión de Blackhole:
Consola de administración optimizado para PDAs
Conclusiones:
El negocio de alquiler
La protección de los scripts PHP
Bloqueo de instalación de scripts a IP's específicas
Signos de mantener el control sobre los Kits de Exploits Blackhole activos
Características Propias de Blackhole:
La versión 2 de Blackhole viene con muchas mejoras:
Mecanismo de protección que impide que las empresas de seguridad accedan a los exploits, y para lograr esto, se generan direcciones URL dinámicas – que son válidas sólo por unos segundos.
no depende de plugindetect para determinar la versión de Java instalada, acelerando así el proceso de descarga de malware.
Se han eliminado los antiguos exploits que causaban bloqueos de los navegadores y "efectos visuales espantosos".
Viene con una característica que permite al cliente elegir el enlace. Los creadores del kit de explotación afirman que de esta forma ninguna de las soluciones antivirus comerciales es capaz de detectarlo.
Las URL dinámicas son utilizadas en todas partes, y los nombres variables permanentes – que eran fácil de detectar – ya no se utilizan más.
16 mejoras al panel de administrador de BlackHole: es más rápido, las estadísticas son más fáciles de ver, y se han añadido teléfonos móviles y Windows 8 para permitir a los clientes ver exactamente qué tipos de dispositivos están infectados.
Se ha implementado una serie de "trucos privados", que el autor prefiere mantener en secreto porque teme que los competidores y las compañías antivirus podrían “vigilar a escondidas”.
los desarrolladores lo están alquilando a cualquiera por 500 dólares (400 euros) al mes en sus propios servidores. Si el cliente tiene su propio servidor, la licencia es mucho más barata: 700 dólares (560 euros) para tres meses, 1.000 dólares (800 euros) para seis meses y 1.500 dólares (1.200 euros) para un año entero.
Los ciberdelincuentes incluso ofrecen soporte en los días laborables entre 9 y 19.
1
Botnets
Zeroaccess
...
Vundo
Dorkbot
2
También llamado: "max++" y "Sirefef"
Descubierto en el 2011
Usa un avanzado rootkit para ocultarse
Afecta a sistemas MS Windows
Ha utilizado el cifrado a través de un controlador de acceso a disco en su versión de 32 bits, explotar la zona de ensamblado .NET en sistemas de 64 bits y para unificar SO ahora utiliza técnicas comunes como inyección DLL, Archivos cifrados, ofuscación,…, almacenado el contenido del malware en contenedores cifrados que también puede ocultar en ellos el malware que se descarga en el ordenador.
Elimina procesos de las herramientas de seguridad para evitar su detección y/o eliminación. Utiliza la técnica de soltar señuelos para detectar el software de seguridad que esta a la escucha y neutralizarlo
Su distribución utiliza un sistema de afiliación:
Dowloader trojan: cuando la máquina se infecta con un troyano "downloader" que descarga e instala zeroaccess.
Exploit Kit: como Blackhole o Bleeding Life Toolkit, es lo que se conoce como el ataque "Drive By Download".
Fake media file, keygen o crack: infectándose a través de redes de intercambios de ficheros con nombres sugestivos: "MSOffice.2013.keygen.exe"
servicios P2P: Que alojan el instalador ZeroAccess
Correo SPAM: SPAM con el malware como fichero adjunto o links que puede mayor explotación.
Una vez dirigido el usuario a un Server Blackhole este deja su encargo bajando el malware a la máquina del usuario pasando a integrar la Bot de Zeroaccess
Sus actualizaciones son a través de redes P2P para incorporar más potencialidad y nuevas funcionalidades.
La primera de sus motivaciones es la económica:
"Pay per Click" (150 millones de clicks ADS por día)
Minando BitCoins (moneda virtual bajo una infraestructura P2P)
Descargando aplicaciones de terceros ciberdelincuente.
Así vemos que una característica de este malware es la de descargar en la máquina infectada malware de terceros para poner en jaque la computadora. Por ejemplo lanzar un falso antivirus que informa de otras amenazas en el equipo y engaña al usuario para que compre un software para eliminar esas falsas amenazas.
Su objetivo es efectuar descargas infectadas como falsos Adobe Reader o actualizaciones Java.
Pero también abre una puerta trasera para ser controlado a través de la red desde un servidor C&C (Command & Control) que permite al atacante el control remoto del equipo. Esto convierte a este equipo en una máquina Zombie, es decir integrante de una Botnet más amplia, además utilizando comunicaciones P2P que hace más difícil el identificar y neutralizar esas comunicaciones.
Ransomware
SMS Ransomware
Winlockers Ransomware
MBR Ransomware
3
SMS Ransomware:
Al principio se utilizo el sistema de que una vez bloqueado el equipo el mensaje exigía el enviar un SMS premium, donde a cambio recibía el código de desbloqueo.
MBR Ransomware: Este tipo infecta el "Master Boot Record" (MBR) del sistema Operativo bloqueando el arranque y preguntando por el código obtenido después de realizar el pago ofertado en el mensaje que aparece en pantalla.
Winlockers Ransomware: En este caso se utilizó técnicas de ingeniería social usurpando la identidad de un Cuerpo Policial y advirtiendo que el bloqueo se debía por haberse detectado que el equipo había realizado actividades ilegales. Exigía que el pago se hiciese a través de sistemas como Ukash o Paysafecard con cantidades que variaban según la región de localización de la víctima (100€, $100, …)
La extorsión criptoviral existe desde hace mucho tiempo aunque en estos últimos meses ha tomado de nuevo un resurgimiento con el famoso virus de la policía.

Existen distintas variantes de este tipo de malware pero generalmente lo que hacen es impedir el uso normal de nuestro equipo, bloqueándonos algún aplicativo como el navegador, impidiendo el acceso normal a la sesión de usuario o cifrar nuestra información.

El objetivo es crear una no funcionalidad y extorsionarnos con el pago de una cantidad para recuperar el uso del equipo.

Se utilizan técnicas diversas aunadas para conseguir el objetivo del pago como ingeniería social.

Aunque en los mensajes de advertencia que emplean para obligarnos a pagar por el recate de la información o el equipo aseguran que la cifra utilizada es sofisticada la realidad no es así siendo realmente bastante inferior.

Este tipo de Malware está clasificado como Troyano y como hemos dicho el objetivo es restringir el acceso a nuestro contenido y solicitar mediante extorsión dinero a la victima a través de sistemas de pagos en línea.


File Encripter Ransomware
RAR Ransomware
Ransomware de compresión "Rar" protegida por password: genera una clave la cual es usada para generar un rar cifrado, la clave es por una clave dura combinada con un ID de la máquina o por el uso de 2 claves, una de ellas envíada por el servidor C&C sin la cual el usuario no es capaz de descomprimir sus ficheros.
File Encrypting Ransomware: Estas versiones no solo bloqueaban el equipo sino que también utilizaban algoritmos complejos de cifrado, el ciberdelincuente exigía la cantidad por los sistemas anteriormente mencionados para facilitar la clave de descifrado.

De este último existen varias variantes como:
Cryptors (usando cifrado personalizado):






GpCoder

GpCoder: Usa clave AES 256 bit con clave RSA 1024 para cifrar los ficheros. Suele visualizarse mensajes al ejecutar ficheros cifrados reclamando el pago.
Extensiones que cifra:
La verdad que el sistema habitual que se suele emplear es el Winlockers Ransomware por requerir técnicas más sencillas de implementar y coste/beneficio les debe salir más rentable.
GpCoder
File Encrypting Ransomware: Estas versiones no solo bloqueaban el equipo sino que también utilizaban algoritmos complejos de cifrado, el ciberdelincuente exigía la cantidad por los sistemas anteriormente mencionados para facilitar la clave de descifrado.
Deja un mensaje en el fondo del escritorio:
fichero: "%Temp%\[RANDOM LOWER CASE LETTERS].bmp"
Y crea también el siguiente fichero de texto:
fichero: "%UserProfile%\Desktop\HOW TO DECRYPT FILES.txt"
Cryptors: Existen unas pocas variantes que utilizan diferentes algortitmos de cifrado:

Tipo 1: Usa algoritmos RC4, se genera un flujo de clave único y se utiliza en todos los archivos cifrados. Se puede determinar la clave si se tiene un fichero original antes del cifrado.
Tipo 2: Utiliza la clave generada RC4 combinada con un generador pseudo-aleatorio junto con parametros especificos del sistema.
En la evolución hay menos extensiones pero ficheros más habituales de contener contenido importante.
Blackhole
ZeroAccess
Redes Sociales
SCAM
Distribución del Ransomware
Mensajería Instantánea
ZeroAccess
Blackhole
Metodología de un ataque
Ramsomware
Blackhole recolecta la información (gathering) obtiene la información de nuestro sistema, vulnerabilidades y la pone en servicio de otro grupo como ZeroAccess instalándo su código
ZeroAccess, se introduce en nuestro equipo detecta la seguridad, la neutraliza y una vez el equipo preparado a punto de caramelo aparece nuestro Ransomware
Ransomware entra a matar, este malware es el que cifra nuestra información valiosa y nos pide un rescate por la misma: Extorsión Criptoviral
Pagamos la extorsión
Pensamos que por la cantidad es mejor pagar y limpiar que perder la información
PERO...
No olvidemos el papel que hacen los C&C ya que a través de ese control remoto tenemos una segunda amenaza, quizás mucho más grave que la que estamos viendo con el ransomware, y es que esa puerta abierta es una posible fuga de información y su venta a terceros, no olvidemos que esto es un mercado del cibercrimen y lo que interesa es la "pasta".
¿Como funciona GpCoder.G?
¿Cómo cifra?¿1024?
Seguimiento del Pago
Investigación del pago
Soluciones Blackhole
Soluciones ZeroAccess
Soluciones Ransomware
Los archivos se cifran mediante modificación del Ransom.Win32.GpCode, utilizando RSA1024 + cifrado AES256 y es imposible descifrarlo sin la parte oculta de la llave.

Cifra ficheros de discos internos y los externos los formatea a bajo nivel.

Lo positivo es que no cifra el fichero completamente con lo que parte del documento es recuperable.
La forma de pago que utiliza esta Organización no es aleatoria. Se planea cuidadosamente para anonimizar el seguimiento del dinero. En lugar de aceptar pagos con tarjeta de crédito como fue el caso de falsos antivirus, estas "multas" falsas sólo aceptan dos tipos de pago que se pueden utilizar para comprar bienes y servicios en línea.

Estos vales son Liberty Reserve y Ukash, que se compran habitualmente en tiendas, locutorios, gasolineras, farmacias, cajeros automáticos, kioscos o en línea a través de Europa.

UKash pueden requerir un medio válido de identificación, que podrían no ser completamente anónimo.
El principal problema en seguir el rastro del dinero en las transacciones UKash es que no hay constancia de que el bono cambie de manos hasta que finalmente se utilice.
Imagine que una víctima es estafado por 100 €. Se fueron a una tienda, comprar un bono y dieron el código de cupón a los ciberdelincuentes del ransomware.
Estos estafadores pueden vender el bono y se seguirá cambiando de manos hasta que se venda a un cliente final, que lo utilice. Para entonces, ya que no hay ningún registro, es difícil de discernir de donde vino el bono.
Con el fin de obtener beneficios económicos de los vales PaySafeCard / UKash, hay sitios clandestinos de intercambio de cupones que les compran a los delincuentes que pagan entre 40 y 50 por ciento del valor nominal del bono.
Estos sitios web luego los revenden a los usuarios regulares que quieren comprar vales descuento por el 90% del valor nominal. Muchas veces esto PaySafeCard compra y venta y los vales de Ukash también se lleva a cabo habitualmente en foros clandestinos o a través de los medios de comunicación más sombríos, como ICQ y otros métodos de comunicación no rastreables.
https://forums.digitalpoint.com/threads/fast-exchange-of-vouchers-ukash-paysafecard.2539761/
http://www.moneytalkworld.com/f39/fast-exchange-vouchers-ukash-paysafecard-122880.html
http://www.exchange-paysafecard.eu/general.html
http://ukash-converting.com/
El malware esta empaquetado con UPX
Se le conoce por los distintos AV con diferentes nombres
Si encuentra un fichero con la extensión de la lista incorporada modifica el mismo sobrescribiendo algunos bytes del fichero y así hasta el final, que crea la imagen con la extorsión en el fondo del escritorio y te remiten a los ficheros "How to..." con el serial que se precisa enviar a la cuenta email que facilita para la prueba de descifrado: "savepc@tormail.org" (nuestro famoso servidor de correo de "The Onion Router" TOR)
Cuando los ciberextorsionadores contestan, mandán el siguiente correo:

150 €, sin rebajas, por Liberty Reserve o 200 € por Ukash
Cuando pagas te envían un programa: "decryptor" para recuperar tus ficheros
1)Adquirir y mantener el conocimiento del funcionamiento de las técnicas de malware y de las vulnerabilidades de nuestros Sistemas y Aplicativos.
2)Actualizar a las últimas versiones los Sistemas y Aplicativos e instalar los parches inmediatamente que se publican.
3)Desactivar los elementos vulnerables cuando no se necesiten (Java, Flash)
4)Utilizar filtrados de reputación para bloquear WS legítimos secuestrados.
5)Utilizar filtros anti-spam actualizados para evitar o reducir los ataques de SCAM e ingeniería social a través de correo electrónico.
6)Si utilizamos software de seguridad que incorpora funciones de prevención de intrusiones en el Host (HIPS) actívelas para protegerse de nuevos o modificados exploits.
1)Adquirir y mantener el conocimiento del funcionamiento de las técnicas de malware y de las vulnerabilidades de nuestros Sistemas y Aplicativos.
2)Actualizar a las últimas versiones los Sistemas y Aplicativos e instalar los parches inmediatamente que se publican.
3)Tener cuidado con los hiperenlaces existentes en páginas como Blogs y Foros donde no haya una moderación fiable de los contenidos.
4)Se puede posicionar el cursor encima del enlace para visualizar a donde nos redirige o copiar el enlace y visualizarlo en el block de notas antes de efectuar click en el mismo.
5)Utilizar filtrados de reputación para determinar si el WS se considera seguro
6)Al realizar búsquedas en cualquier servicio, desde buscadores genéricos como buscadores de descargas directas o P2P, tratar con precaución los resultados.
7)Si aparecen Pop-Up durante la navegación no clicar en ellos e incluso en donde aparece la "x" prueben desactivar la ventana con el atajo de teclado (ALT-F4)
8)Cuidado con los ofrecimientos gratuitos o a un valor muy inferior de contenidos con derecho de autor como música, videos, software, libros, …
9)Cuidado también con los parches y generadores de claves para activar funcionalidades de software.
10)Utilizar filtros anti-spam actualizados para evitar o reducir los ataques de SCAM e ingeniería social a través de correo electrónico.
11)Existen reportadas direcciones de IP comprometidas que deberían ser redirigidas a loopback (127.0.0.1) a través del firewall, router o editando el fichero local hosts.
1)Establecer una buena política de salvaguardas, lo cual implica tener las copias en un lugar seguro y por supuesto NUNCA EN EL MISMO SERVIDOR. El objetivo de una copia de seguridad es tenerla disponible no solo si los datos se pierden o, como en este caso, se cifran, también es necesario tenerla disponible si se nos quema la máquina o somos víctimas de algún robo, en estos caso, almacenar las copias en un disco duro USB siempre conectado a la máquina, no es la mejor idea.
2)Antes de llegar a nuestras máquinas hay que proteger nuestra red, debemos colocar elementos que la filtren y nos corten posibles ataques posteriores; por ejemplo, un buen UTM que nos filtre el tráfico.
3)VPN: Si realizamos conexiones remotas debemos de continuar protegiendo nuestra red, así que es imprescindible conectarse mediante VPN. Una conexión insegura sin túnel que nos proteja es un riesgo que no es necesario correr.
4)Evitar escritorios remotos directos al puerto 3389, Las últimas versiones de ransomware se han centrado sobre este puerto, atacando a todos aquellas máquinas que lo tenían abierto sin ningún tipo de protección, en muchos de los casos, una sencilla VPN hubiera evitado problemas.
5)Máquinas actualizadas. Como veis, hemos hablado de varios aspectos, pero aun no hemos llegado a las máquinas que son el objetivo final, pero debemos interceptar el ataque antes de que lleguen aquí. Si el atacante consigue llegar a nuestra retaguardia, entonces debemos de tener todo cuanto más protegido, mejor: últimos parches del sistema operativo instalados, protecciones antivirus, evitar dejar abiertos puertos innecesariamente, etcétera.
SIT1: Nuestras armas

Empresa de Análisis de la Información e Investigación Tecnológica para empresas o particulares que sufren ataques informáticos o se vulneran sus derechos por parte de personal interno o personas ajenas

Ofrece soluciones adaptadas a cada caso
Equipo heterogéneo y complementario

No solo Informes Técnicos, no solo Investigación

Crea Inteligencia, con la simbiosis de la experiencia de nuestros expertos y dando como resultado un Peritaje Informático Integral adecuado a dar respuestas y soluciones a los incidentes
La seguridad comienza conociendo nuestros Sistemas y a nuestros enemigos.

Divulga información y será una antorcha al oscuro mundo del Cibercrimen
Juan Carlos Ruiloba
@juancrui
SIT1 - 2013
Examinemos un Caso
Tierra trágame!!!
Crea un mutex con el nombre ilold para evitar que se ejecute más de una vez en memoria
Crea la llave RSA con Microsoft Enhanced RSA and AES Cryptographic Provider
Cifra los archivos directorio por directorio de todas las unidades de disco a través de un ciclo comparando que el directorio no contenga el fichero "HOW TO DECRYPT FILES.txt"
Full transcript