sabato 4 giugno 2016

Ransomware BadBlock: Come recuperare i file

Tra i tanti ransomware in circolazione, BadBlock è forse quello realizzato peggio. Generalmente i ransomware provvedono a cifrare solo i dati utente, lasciando intatto il sistema operativo in modo che l'utente visualizzi le informazioni per il pagamento del riscatto. BadBlock, invece, cifra non solo i dati dell'utente ma anche tutti i file eseguibili compresi quelli di sistema, così al successivo avvio l'utente potrebbe incappare in un messaggio simile a quello visualizzato in FIG 1 e Windows non viene caricato.
Impossibile avviare Windows a causa di file mancante o corrotto
FIG 1 - Impossibile avviare Windows a causa di file mancante o corrotto

La maggior parte dei ransomware visualizzano il messaggio relativo al pagamento del riscatto solo quando hanno già cifrato tutti i dati dell'utente mentre BadBlock lo visualizza nel momento in cui inizia a cifrare i file e può essere bloccato terminando il processo badransom.exe dal Task Manager (Gestione attività).
BadBlock: richiesta pagamento riscatto
FIG 2 - BadBlock: richiesta pagamento riscatto

Il ransomware BadBlock si diffonde principalmente tramite email. 
Quando si viene infettati, la prima operazione da effettuare è quella di stoppare il processo da Task Manager. É consigliabile non riavviare il sistema in quanto se il ransomware è riuscito a cifrare un file del sistema operativo, al successivo avvio, Windows potrebbe non ripartire.
Per rimuovere il ransomware basta effettuare una scansione con MalwareBytes dopo aver aggiornato il database. 



Come recuperare i dati cifrati


Passo 1: 
Per recuperare i dati cifrati è possibile utilizzare il tool Decrypt BadBlock sviluppato da Fabian Wosar di Emsisoft. Il tool può essere scaricato da http://decrypter.emsisoft.com/download/badblock 

Passo 2: 
Creare una cartella sul desktop e inserire all'interno il tool appena scaricato. Copiare all'interno della cartella un file cifrato e lo stesso file non cifrato. Se non si dispone di un file non cifrato è possibile provare a cercare tra le immagini della cartella %public%.
Decrypt BadBlock: Creazione cartella sul desktop
FIG 3 - Decrypt BadBlock: Creazione cartella sul desktop

Passo 3: 
Selezionare i 2 file e trascinarli sull'eseguibile decrypt_badblock.exe. Nel caso venga visualizzata la finestra UAC (avviso di sicurezza) proseguire cliccando su OK. Il tool tenterà di ricavare la chiave di cifratura e al termine visualizzerà una finestra con la chiave trovata. Cliccare su OK per proseguire.
BadBlock: Decryption Key
FIG 4 - BadBlock: Decryption Key

Passo 4: 
Accettare la licenza di utilizzo cliccando su  per proseguire e visualizzare la finestra Emsisoft Decrypter for BadBlock.
Decrypt BadBlock - License terms
FIG 5 - Decrypt BadBlock - License terms

Passo 5: 
Per default il tool provvede a decriptare solo i file presenti sul disco C:. Per aggiungere altri dischi cliccare sul pulsante Add File(s) e indicare il disco da aggiungere alla lista. Quando pronti, cliccare sul pulsante Decrypt per avviare l'operazione. Al termine verrà visualizzato il log delle operazioni effettuate che è possibile salvare (cliccando su Save log) e consultare in seguito.
BadBlock: Emsisoft Decrypter
FIG 6 - BadBlock: Emsisoft Decrypter


BadBlock: Emsisoft Decrypter, risultati
FIG 7 - BadBlock: Emsisoft Decrypter, risultati

giovedì 19 maggio 2016

Ransomware TeslaCrypt: Decriptare tutte le versioni

Gli sviluppatori di TeslaCrypt hanno provveduto alla chiusura dei server e, dietro richiesta dei ricercatori ESET, hanno messo a disposizione la master key per recuperare i dati cifrati da tutte le versioni del ransomware (incluse la 3.0 e 4.x).

Gli sviluppatori del ransomware hanno rilasciato la master key di TeslaCrypt su rete Tor all'indirizzo wbozgklno6x2vfrk.onion

La master key è la seguente
440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE

A chi ha conservato i dati cifrati dal ransomware non resta che scaricare la versione aggiornata di TeslaDecoder  (sviluppato da BloodDolly di BleepingComputer) e procedere come segue.


  • Scaricata l'ultima versione di TeslaDecoder, scompattarla e avviare il file TeslaDecoder.exe
  • FIG 1 - TeslaDecoder
  • Cliccare sul pulsante Set Key. Nella casella Key (hex): incolliamo la master key e in Extension selezioniamo l'estensione dei nostri file cifrati (per i file cifrati con TeslaCrypt 4.x a cui non è stata modificata l'estensione selezionare <as original>), quindi cliccare Set Key


  • Si ritorna alla schermata vista in FIG 1. Non resta che cliccare su Decrypt Folder e selezionare la cartella (o l'intero disco) contenente i nostri file cifrati

lunedì 16 maggio 2016

Windows 10: Abilitare la modifica del suono di logon a Windows

Nella nuova versione di Windows non è possibile modificare il suono eseguito al logon dell'utente tramite il Pannello di Controllo. Per riabilitare questa opzione è necessario agire tramite il registro di sistema:
  • Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
  • Posizionarsi su HKEY_CURRENT_USER\AppEvents\EventLabels\WindowsLogon
  • Impostare a 0 il valore DWORD ExcludeFromCPL
    ExcludeFromCPL
    FIG 1 - ExcludeFromCPL
Una volta eseguita la modifica, accedendo al Pannello di Controllo -> Hardware e suoni e selezionando l'opzione Cambia Segnali acustici emessi dal sistema nella sezione Audio, noteremo l'opzione Accesso a Windows (FIG 2) che ci consente di modificare il suono emesso al logon dell'utente.
Audio, Accesso a Windows
FIG 2 - Audio, Accesso a Windows
Per scaricare i file .reg che abilitano/disabilitano la modifica del suono al logon, cliccare su DOWNLOAD



giovedì 12 maggio 2016

Windows Quick Tip: Impedire il download automatico dei driver da parte di Windows Update

Oltre all'aggiornamento del sistema operativo e di altre applicazioni Microsoft, Windows Update provvede anche al download e all'installazione dei driver aggiornati delle periferiche. Tale comportamento è generalmente ben accetto ma nel caso in cui Windows non riconosca correttamente una periferica potrebbe installare driver errati e rendere il sistema instabile. É possibile impedire a Windows Update di eseguire il download dei driver delle periferiche.

In Windows 7, Windows 8 e 8.1 si può procedere nel seguente modo:
  • Accedere al Pannello di controllo e accedere alla sezione Sistema e sicurezza/Sistema (oppure premere la combinazione di tasti WIN+Pausa);
  • Cliccare sul collegamento Impostazioni di sistema avanzate;
    Impostazioni di sistema avanzate
    FIG 1 - Impostazioni di sistema avanzate
  • Selezionare la scheda Hardware, quindi cliccare su Impostazioni installazione dispositivo;

    Proprietà di sistema - Hardware
    FIG 2 - Proprietà di sistema - Hardware
  • Nella schermata successiva selezionare l'opzione Chiedi ogni volta per far apparire altre opzioni. Selezionare Non installare mai il driver da Windows Update quindi salvare le modifiche cliccando sull'apposito tasto.

    Impostazioni installazione dispositivo
    FIG 3 - Impostazioni installazione dispositivo


In Windows 10 le schermate sono state modificare ma possiamo eseguire l'operazione agendo tramite il registro di sistema.
  • Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
  • Posizionarsi su HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DriverSearching
  • Impostare a 0 il valore DWORD SearchOrderConfig
SearchOrderConfig
FIG 4 - SearchOrderConfig

Dal seguente link è possibile scaricare i file .reg per abilitare/disabilitare il download automatico dei driver da parte di Windows Update
DOWNLOAD

mercoledì 11 maggio 2016

Windows Quick Tip: Visualizzare lo stato di BitLocker tramite prompt dei comandi

BitLocker è una funzionalità introdotta da Microsoft nei suoi sistemi operativi a partire dalle versioni Enterprise ed Ultimate di Windows Vista. Tale funzionalità consente di proteggere i dati cifrandoli tramite l'algoritmo AES con chiave a 128bit. BitLocker consente di cifrare interi drive, compresi drive esterni e quello contenente il sistema operativo. Per verificare lo stato dei dischi cifrati con BitLocker è possibile utilizzare il comando manage-bde -status
  • Avviare il prompt dei comandi come amministratore
  • Digitare il comando manage-bde -status seguito da invio. L'output del comando sarà simile a quello visibile in FIG 1 e FIG 2 con le informazioni relative ai dischi e alla crittografia.

Manage-bde -status
FIG 1 - Manage-bde -status
Manage-bde -status disco cifrato
FIG 2 - Manage-bde -status disco cifrato

Per visualizzare le informazioni di uno specifico disco va indicato all'interno del comando. Ad es. per conoscere lo stato del disco c: va eseguito il comando manage-bde -status c:

mercoledì 27 aprile 2016

Ransomware CryptXXX

CryptXXX è un nuovo ransomware che si sta diffondendo: le prime infezioni risalgono al 31 Marzo 2016. Questo nuovo ransomware è stato analizzato approfonditamente da Kafeine e dalla sua analisi si evincono molte cose interessanti. L'infezione avviene tramite Angler Exploit Kit (EK). Una volta infettato il sistema il ransomware non inizia subito la sua opera ma resta per un po' in attesa in modo da rendere difficile risalire subito alla fonte dell'infezione. Trascorso il tempo di delay inizia a crittografare i file aggiungendo l'estensione .crypt.
Il ransomware si maschera dietro un file .dll che viene creato all'interno di una cartella contenente caratteri alfanumerici in %USERPROFILE%\AppData\Local\Temp\.
ad es.
%USERPROFILE%\AppData\Local\Temp\{D3C31E62-539D-4056-BF01-BF7CB94E0254}\api-ms-win-system-softpub-l1-1-0.dll

Il nome del file .dll e quello della cartella che lo contiene variano.

Terminata la crittografia dei dati, come già visto per altri ransomware, CryptXXX genera 3 file (in formati diversi) contenenti le informazioni su come pagare il riscatto:
de_crypt_readme.bmp
de_crypt_readme.txt
de_crypt_readme.html

Il messaggio viene visualizzato a video e viene richiesto un riscatto di circa 500$ (che raddoppia nel caso in cui non venga pagato entro la scadenza visualizzata).


Recuperare i dati .crypt

Per decriptare i dati cifrati da CryptXXX è possibile utilizzare il tool RannohDecryptor messo a disposizione da Kaspersky e scaricabile da QUI .
Il tool consente di determinare la chiave per decriptare i dati a patto di disporre della versione cifrata e non cifrata dello stesso file.  Questo potrebbe rappresentare un problema ma ci sono alcuni file, come le immagini di esempio di Windows, che sono uguali su tutti i PC. In questo caso basta copiare il file non cifrato da un'altro PC.

Una volta scaricato e avviato il tool, cliccare sul pulsante Start scan e indicare il file cifrato. Il tool tenterà di estrarre la chiave dal file e, non riuscendoci, chiede all'utente di specificare la versione cifrata e non cifrata dello stesso file. Confrontando i 2 file il tool riuscirà ad estrarre la chiave e si potrà procedere a decriptare i restanti file.


Kaspersky RannohDecryptor
FIG 1 - Kaspersky RannohDecryptor

Aggiornamento 13.05.2016:

Da alcuni giorni circola una nuova versione del ransomware CryptXXX su cui il tool di Kaspersky è inefficace. Al momento non c'è la possibilità di decriptare i dati cifrati dalla nuova variante del ransomware.


Aggiornamento 13.05.2016 (2):

Proprio alcune ore fa Kaspersky (come segnalato e testato anche dall'utente Angelo nei commenti) ha rilasciato la nuova versione di RannoDecryptor che permette di decriptare i dati cifrati dalla nuova variante di CryptXXX. Il download può essere effettuato da http://support.kaspersky.com/viruses/utility


Aggiornamento 17.07.2016:

Ora è possibile decriptare i file che hanno estensione  .Crypz e .Cryp1. Nuovo articolo QUI

mercoledì 20 aprile 2016

Windows Quick Tip: Programmare l'arresto del sistema dopo un timeout specificato

A chi non è mai capitato di restare in attesa davanti al PC che venisse portata a termine un'operazione (come la copia o il download di file) per poi poter spegnere il sistema?

In Windows è possibile programmare l'arresto del sistema tramite l'utilità di pianificazione oppure lanciando, dal prompt dei comandi, il comando
shutdown -s -f -t 0
dove al posto di 0 va indicato il timeout, espresso in secondi, prima dell'arresto del sistema. L'intervallo accettato è 0-315360000.

Per semplicità è possibile creare un file .cmd che consente di specificare, ogni volta che viene eseguito, il timeout desiderato.
Dal seguente collegamento è possibile scaricare il file .cmd
DOWNLOAD

Il file contiene il seguenti comandi

@echo off
set /p minuti="Indicare tra quanti minuti arrestare il sistema:"
set /a secondi=%minuti%*60
shutdown -s -f -t %secondi%
exit

Come è possibile notare dal codice sopra riportato, una volta avviato (come un comune file eseguibile) viene chiesto di indicare i minuti da attendere prima che venga eseguito l'arresto del sistema. Il valore dei minuti specificato viene convertito in secondi è passato al comando shutdown.


Shutdown
FIG 1 - Shutdown