lunedì 15 febbraio 2016

Windows Quick Tip: Visualizzare la data e ora di compilazione di un file eseguibile

Quando si installa un'applicazione può capitare che la data di creazione del file eseguibile (.exe) venga impostata alla data attuale. I file eseguibili contengono al loro interno dei metadati. Alcuni di questi sono visibili nella finestra relativa alle proprietà del file, altri, come la data e l'ora di compilazione originale, possono essere estratti dal file tramite appositi tool. 
Conoscere la data di compilazione originale del file eseguibile può essere utile per individuare la versione più recente.
Un tool che permette di estrarre tale informazione è PEStamp scaricabile da http://trax.x10.mx/pestamp.exe. Il tool occupa pochi KB e può essere lanciato dal prompt dei comandi passandogli come parametro il percorso e nome del file eseguibile.

Ad es.
pestamp <nome_file.exe>


PEStamp
FIG 1 - PEStamp

Per richiamare il tool da più percorsi come se fosse un comando nativo si può inserire il percorso di PEStamp.exe all'interno della variabile di sistema PATH oppure si può copiare il file all'interno di c:\windows.

Altri tool prodotti dallo stesso autore (FS1) si possono scaricare da http://trax.x10.mx/apps.html

giovedì 11 febbraio 2016

MS Word Quick Tip: Aggiungere un capolettera al documento

Per rendere più accattivante un documento MS Word è possibile aggiungere un capolettera procedendo nel seguente modo:

  • Aprire il documento MS Word che si intende modificare;
  • Selezionare il carattere che si intende trasformare in capolettera;
  • Dal menu Inserisci nella barra multifunzione selezionare l'opzione Capolettera presente nella sezione Testo.
    
    Capolettera
    FIG 1 - Capolettera
  • Verrà mostrato un menù popup che permette di scegliere tra più opzioni:
    Nessuno - Elimina un capolettera precedentemente impostato
    Interno - Si tratta del classico capolettera inserito in uno spazio ricavato nel corpo del testo
    Esterno - Il capolettera viene inserito nel margine sinistro
    Opzioni capolettera... - consente di specificare opzioni personalizzate per il capolettera. 

    
    Menu Capolettera
    FIG 2 - Menu Capolettera
L'effetto delle varie opzioni viene visualizzato semplicemente sorvolando con il mouse la relativa opzione. Una volta individuato l'effetto voluto cliccare sull'opzione desiderata.
Opzioni capolettera consente, attraverso una finestra di  dialogo, di impostare ulteriori opzioni aggiuntive come la grandezza del carattere, il numero di righe occupate e la spaziatura rispetto al testo. 

Opzioni Capolettera
FIG 3 - Opzioni Capolettera

Il capolettera viene inserito all'interno di un riquadro di testo separato e può essere spostato, modificato e ridimensionato anche successivamente. 

Esempio di capolettera interno
FIG 4 - Esempio di capolettera interno

lunedì 8 febbraio 2016

Windows: Resettare/eliminare la password di Windows tramite Offline NT Password & Registry Editor

Può capitare di avere la necessità di accedere al sistema ma di aver dimenticato la password. In questi casi esistono diversi metodi che ci consentono di resettare/cancellare la password di accesso locale (non quella di dominio) e permetterci l'accesso al sistema. Uno di questi metodi consiste nell'utilizzo dell'ottimo tool Offline NT Password & Registry Editor.

ATTENZIONE:
Danneggiare o violare un sistema informatico (anche da remoto) rappresenta un reato penale. Le informazioni presenti in quest'articolo vanno utilizzate solo per testare/verificare sistemi di cui si è titolari. Declino ogni responsabilità civile e penale derivante da un utilizzo non legale delle informazioni presentate in questo articolo a solo scopo didattico.

Da http://pogostick.net/~pnh/ntpasswd/ è possibile scaricare sia l'immagine ISO che i file per creare una pendrive USB bootable. I file vengono scaricati in formato compresso .zip quindi dovranno essere scompattati prima di poterli utilizzare.

Download Offline NT Password & Registry Editor
FIG 1 - Download Offline NT Password & Registry Editor
L'immagine ISO può essere masterizzata su cd/dvd tramite un programma di masterizzazione oppure è possibile creare una pendrive bootable tramite il tool Rufus.
Scaricando i file per la creazione di una pendrive, invece, dobbiamo copiare tutti i file sulla pendrive, aprire un prompt dei comandi come amministratore e digitare il seguente comando
X:\syslinux.exe -ma X:
dove al posto della X va indicata la lettera della nostra pendrive.

Adesso si dispone del supporto con cui si andrà ad eseguire il boot del sistema. Il tool ci chiederà di selezionare alcune opzioni (la maggior parte già selezionate di default) prima di permetterci di resettare la password. Di seguito mostrerò passo passo le operazioni da effettuare con relative immagini per semplificare la vita anche a chi è poco pratico.
Prima di iniziare è utile sapere che le password degli account di Windows vengono crittografate e memorizzate all'interno del file SAM (un file senza estensione) presente in C:\Windows\System32\config. Tale file non è accessibile/modificabile quando Windows è in esecuzione. Ecco perché è necessario creare un supporto con cui effettuare il boot del sistema senza caricare Windows. I più esperti, prima di procedere alla cancellazione della password, possono effettuare il backup dei file SAM e SYSTEM (quest'ultimo contiene il valore Bootkey con cui viene crittografato il file SAM). In questo modo è possibile ripristinare la vecchia password ricopiando semplicemente i file nella loro posizione originale.

Eliminare la password di un determinato account:
  • Eseguire il boot dal supporto creato (CD/DVD o pendrive) e quando a video appare boot: come mostrato in figura FIG 2, premere invio per proseguire.
    Offline NT Password & Registry Editor, Boot
    FIG 2 - Offline NT Password & Registry Editor, Boot
  • Il tool cerca di individuare la partizione dove è installato il sistema operativo e, al termine dell'analisi, ci propone le installazioni di Windows che ha individuato. Digitare il numero dell'installazione di Windows su cui si intende agire e premere invio. L'opzione di default, e più probabile, è indicata tra parentesi quadre (ad es. [1]). Premendo solo invio viene accettata l'opzione di default proposta dal tool.
    Offline NT Password & Registry Editor, installazioni di Windows
    FIG 3 - Offline NT Password & Registry Editor, installazioni di Windows
  • Nel caso in cui venisse richiesto, confermare il percorso del registro di sistema (Windows/System32/config) premendo invio.
  • Confermare l'opzione [1] Password reset [sam] premendo invio per procedere al reset della password
    Offline NT Password & Registry Editor, Password reset [sam]
    FIG 4 - Offline NT Password & Registry Editor, Password reset [sam]
  • Premere nuovamente invio per confermare l'opzione 1 - Edit user data and passwords
    
    Offline NT Password & Registry Editor, Edit user data and passwords
    FIG 5 - Offline NT Password & Registry Editor, Edit user data and passwords
  • Digitare il RID dell'account a cui si intende resettare la password e premere invio (ad es. in figura FIG 6 per resettare la password dell'utente Virtual digitare 03e9 seguito da invio)
    Offline NT Password & Registry Editor, RID user account
    FIG 6 - Offline NT Password & Registry Editor, RID user account
  • Digitare 1 per l'opzione Clear (blank) user password e premere invio
    
    Offline NT Password & Registry Editor, Clear (blank) user password
    FIG 7 - Offline NT Password & Registry Editor, Clear (blank) user password
  • La password è stata eliminata. Digitare q seguito da invio per uscire (Quit editing user, back to user select) quindi ancora q e invio per terminare (FIG 8 e 9)
    Offline NT Password & Registry Editor, Quit editing user, back to user select
    FIG 8 - Offline NT Password & Registry Editor, Quit editing user, back to user select
    Offline NT Password & Registry Editor, Quit (you will be asked if there is something to save)
    FIG 9 - Offline NT Password & Registry Editor, Quit (you will be asked if there is something to save)
  • A questo punto viene chiesto di confermare la scrittura del registro. Premere Y seguito da invio e attendere che la scrittura del Security Account Manager (SAM)
    Offline NT Password & Registry Editor, About to write file(s) back! Do it?
    FIG 10 - Offline NT Password & Registry Editor, About to write file(s) back! Do it?
  • Terminata la scrittura del file SAM viene chiesto se si intende eseguire nuovamente il tool. Confermare l'opzione N proposta premendo invio
    FIG 11 - Offline NT Password & Registry Editor, New run?
  • Non resta che riavviare normalmente il sistema dopo aver rimosso il supporto (CD/DVD o pendrive). La password non ci verrà più richiesta.
    Offline NT Password & Registry Editor, Reboot
    FIG 12 - Offline NT Password & Registry Editor, Reboot

Il metodo presentato funziona solo per il reset degli account locali del sistema. Nel caso in cui il disco sia criptato (ad es. con bitlocker) il tool non funziona. Se l'utente ha criptato qualche file o cartella tramite EFS (Encrypting File System) o Bitlocker, il contenuto di tali file/cartelle risulterà non accessibile finché non verrà ricordata la password originale.

martedì 2 febbraio 2016

Ransomware 7ev3n

In circolazione è stato individuato un nuovo ransomware molto aggressivo, il suo nome è 7ev3n. Questo ransomware, oltre a cifrare i dati dell'utente e a richiedere un riscatto di 13 bitcoin (il riscatto più elevato fin'ora registrato), compromette anche il sistema operativo modificando le impostazioni di Windows e le modalità di avvio impedendo l'accesso al sistema in modalità provvisoria e inibendo le opzioni di ripristino.

Il ransomware è stato analizzato in dettaglio da bleepingcomputer 

Al momento il ransomware 7ev3n non è ancora molto diffuso ma è molto pericoloso: una volta infettato il sistema provvede ad eseguire una scansione di tutti i drive connessi, quindi procede a cifrare alcuni file rinominandoli in maniera sequenziale e attribuendo l'estensione R5A (ad es. 1.R5A, 2.R5A ecc). 

Al momento le estensioni interessate dal ransomware sono:
.dbf, .arw, .txt, .doc, .docm, .docx, .zip, .rar, .xlsx, .xlsb, .xlsm, .pdf, .jpg, .jpe, .jpeg, .sql, .mdf, .accdb, .mdb, .odb, .odm, .odp, .ods

Terminata la crittografia dei dati viene visualizzato il messaggio di richiesta del riscatto.

7ev3n richiesta di riscatto (immagine di bleepingcomputer)
FIG 1 - 7ev3n richiesta di riscatto (immagine di bleepingcomputer)

Il ransomware crea diversi file all'interno della cartella %LocalAppData% tra cui:
  • bcd.bat
    All'interno di tale file sono presenti comandi BCDEDIT che disabilitano le opzioni di avvio avanzato e di recovery di Windows.
  • del.bat
    Cancella l'installer del ransomware.
  • system.exe
    Questo è l'eseguibile principale del ransomware che provvede alla crittografia dei file e alla visualizzazione del messaggio di riscatto .
  • time.e
    Il file contiene il timestamp di quando è avvenuta l'infezione.
  • uac.exe
    Questo eseguibile consente ai vari componenti del ransomware di essere eseguiti con privilegi di amministratore senza che venga visualizzato il messaggio UAC.
Inoltre vengono creati i seguenti file:
C:\Windows\System32\Tasks\uac
C:\Windows\System32\elsext.dll

Il contenuto del file bcd.bat è il seguente
 bcdedit /set {current} bootems no 
 bcdedit /set {current} advancedoptions off 
 bcdedit /set {current} optionsedit off 
 bcdedit /set {current} bootstatuspolicy IgnoreAllFailures 
 bcdedit /set {current} recoveryenabled off
 del %0

Il ransomware provvede anche a disabilitare, tramite chiavi di registro, le funzioni normalmente usate per riprendere il controllo di un sistema Windows, come la combinazione di tasti ALT+TAB, Task Manager, la finestra di dialogo Esegui e vengono disabilitati i tasti  F1, F10, F3, F4, Invio, Esc, Alt, Ctrl,Windows, Shift, Bloc Num, Alt Gr, Tab.  La chiave di registro modificata è:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" "Scancode Map" = "00000000 00000000 17000000 00003800 000038e0 00005be0 00005ce0 00003600 00001d00 00001de000000f000000010000001c0000003e0000003b00000044000000450000003d0000005de000000000"

altre chiavi di registro create dal ransomware sono
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{62EC9C46-634C-4957-8A5C-4566462D0CE6}
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\uac
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "C:\Users\[login_name]\AppData\Local\system.exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion" /v "crypted"
  • HKEY_CURRENT_USER\Control Panel\Accessibility\StickyKeys "Flags"  = 506
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" "System"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion" "rgd_bcd_condition"  = 1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" "EnableLUA"  = 0

Il task creato in C:\Windows\System32\Tasks\uac  esegue le operazioni sopra indicate ad ogni login, assicurandosi che il ransomware prenda il controllo del sistema prima di ogni altra applicazione.


Rimuovere 7ev3n
Al momento non esiste un metodo per decriptare i dati ma seguendo alcuni passaggi è possibile rendere il sistema operativo nuovamente usabile. 

Il metodo più semplice per ripristinare le funzionalità del sistema operativo prevede l'utilizzo del disco di ripristino con cui eseguire il boot del sistema. Quando richiesto selezionare il ripristino del sistema e quindi avviare il Prompt dei comandi.

Opzioni di ripristino del sistema
FIG 2 - Opzioni di ripristino del sistema

La prima operazione da fare, dal Prompt dei comandi, è quella di riabilitare le opzioni di avvio di Windows con i seguenti comandi
bcdedit /set {default} bootems yes
bcdedit /set {default} advancedoptions on
bcdedit /set {default} recoveryenabled on
bcdedit /set {default} bootstatuspolicy DisplayAllFailures 

A questo punto possiamo procedere al riavvio del sistema in modalità provvisoria con prompt dei comandi e cancellare i seguenti file:
%LocalAppData%\bcd.bat
C:\Windows\System32\Tasks\uac

Per quanto riguarda il file %LocalAppData%\system.exe conviene procedere alla sua rinomina (magari modificando l'estensione in modo da evitare eventuali esecuzioni "accidentali") in quanto potrebbe essere necessario in futuro nel caso venga individuato un metodo per il recupero dei file criptati.
Gli altri file del ransomware creati in %LocalAppData% (del.bat, time.e, uac.exe) non rappresentano un pericolo ma volendo possono essere eliminati.

Infine non resta che rimuovere i seguenti valori presenti nel registro di sistema
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" "Scancode Map" 

Riavviare il sistema normalmente e procedere alla scansione con un antivirus e un antimalware aggiornati.