giovedì 16 giugno 2016

Ransomware Apocalypse: Recupero dei file

Apocalypse è uno dei tanti ransomware in circolazione. Diffuso prevalentemente tramite email, una volta installato crea un file eseguibile nominato windowsupdate.exe in C:\Program File (x86) inoltre crea un valore Windows Update Svc all'interno della chiave di registro HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ che permette al ransomware di avviarsi ogni volta che l'utente effettua il logon al sistema. Quando Apocalypse viene eseguito, provvede a cifrare tutti i file tranne i file presenti in C:\Windows e quelli aventi le seguenti estensioni:  .bat, .bin, .com, .dat, .dll, .encrypted, .exe, .ini, .lnk, .msi, .sys, .tmp

Ai file cifrati viene aggiunta l'estensione .encrypted e viene creato un nuovo file dal nome <nome_file_cifrato>.How_To_Decrypt.txt contenente le istruzioni per il pagamento del riscatto. Terminata l'operazione di cifratura, Apocalypse impedisce all'utente di accedere al proprio desktop visualizzando una schermata di blocco con il seguente messaggio:

IF YOU ARE READING THIS MESSAGE, ALL THE FILES IN THIS COMPUTER HAVE BEEN CRYPTED!!
documents, pictures, videos, audio, backups, etc
IF YOU WANT TO RECOVER YOUR DATA, CONTACT THE EMAIL BELOW.
EMAIL: decryptionservice@mail.ru
WE WILL PROVIDE DECRYPTION SOFTWARE TO RECOVER YOUR FILES.
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
IF YOU DONT CONTACT BEFORE 72 HOURS, ALL DATA WILL BE LOST FOREVER
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Recuperare i dati cifrati da Apocalypse

Liberarsi del ransomware non è difficile e, grazie ad un tool sviluppato da  Fabian Wosar di Emsisoft, è possibile recuperare anche i propri file.

  • Il primo passo da seguire è quello di avviare il sistema in modalità provvisoria con supporto di rete (Safe Mode with Networking).
  • Una volta in modalità provvisoria possiamo disabilitare l'avvio automatico del ransomware eliminando il seguente valore all'interno del registro di sistema HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows Update Svc oppure disabilitandolo tramite msconfig (o dalla scheda Avvio di Gestione Attività)
    Sezione Avvio da Gestione attività
    FIG 1 - Sezione Avvio da Gestione attività
  • Scaricare il took di Emsisoft decrypt_apocalypse.exe dal seguente link http://decrypter.emsisoft.com/download/apocalypse e avviarlo
  • Accettare la licenza

    Licenza Decrypter for Apocalypse
    FIG 2 - Licenza Decrypter for Apocalypse
  • Il tool seleziona per default la partizione C: del disco. Cliccando su Add file(s) possiamo aggiungere altre partizioni o cartelle.

    Emsisoft Decrypter for Apocalypse
    FIG 3 - Emsisoft Decrypter for Apocalypse
  • Quando siamo pronti basta cliccare su Decrypt. Tutti i file presenti nel disco selezionato e nelle relative sottocartelle verranno decriptati. I risultati/progressi saranno visibili dal tool all'interno della scheda Results.


martedì 7 giugno 2016

Windows Quick Tip: Analizzare la velocità dei browser

La velocità di navigazione in Internet non dipende solo dalla velocità e qualità della connessione ma è influenzata da numerosi fattori: prestazioni del PC, browser utilizzato e relativo motore di rendering, plug-in installati, personalizzazioni effettuate, codice sorgente della pagina, ecc.
Per valutare la velocità del proprio browser e per verificare quanto incide sulle prestazioni un determinato plug-in o personalizzazione è possibile utilizzare uno dei tanti servizi online.
Uno dei servizi che è possibile utilizzare allo scopo è SunSpider: un benchmark in Javascript realizzato da WebKit. Il benchmark è in parte superato per valutare le reali prestazioni del motore di rendering ma fornisce alcune utili funzioni per confrontare i risultati dei vari test permettendoci di discriminare l'elemento che rallenta il nostro browser.
Per eseguire il benchmark raggiungere il seguente indirizzo https://webkit.org/perf/sunspider/sunspider.html e cliccare sul link Start Now!
Dopo pochi secondi verranno visualizzati i risultati e un indirizzo URL lunghissimo che è possibile salvare per effettuare un confronto con test successivi. All'interno della stessa pagina dei risultati, infatti, è presente un campo in cui è possibile incollare l'indirizzo URL di un test precedente ed effettuare un confronto immediato tra i risultati (FIG. 2).
SunSpider risultati test
FIG 1 - SunSpider risultati test

Sunspider, confrontare i risultati dei test
FIG 2 - Sunspider, confrontare i risultati dei test

lunedì 6 giugno 2016

MS Exchange: Reperire informazioni sul Default Configuration Domain Controller

Per determinare quale sia il Default Configuration Domain Controller è possibile agire tramite il registro eventi del server Exchange: dal registro Eventi->Applicazioni cercare l'evento con ID 2081.

L'informazione può essere ottenuta anche tramite EMS digitando il seguente comando:
Get-ADServerSettings | fl

L'output visualizzato dal cmdlet è simile al seguente e l'informazione di nostro interesse è indicata da DefaultConfigurationDomainController 

RunspaceId                                     : 70db61a2-743b-4d7b-9a26-76a049b449a4
DefaultGlobalCatalog                           : DC2.contoso.com
PreferredDomainControllerForDomain             : {}
DefaultConfigurationDomainController           : DC1.contoso.com
DefaultPreferredDomainControllers              : {DC2.contoso.com}
UserPreferredGlobalCatalog                     :
UserPreferredConfigurationDomainController     :
UserPreferredDomainControllers                 : {}
DefaultConfigurationDomainControllersForAllForests : {(contoso.com, DC1.contoso.com)}
DefaultGlobalCatalogsForAllForests     : {(contoso.com, DC2.contoso.com)}
RecipientViewRoot                              : contoso.com
ViewEntireForest                               : False
WriteOriginatingChangeTimestamp                : False
WriteShadowProperties                          : False
Identity                                       :
IsValid                                        : True
ObjectState                                    : New



Se si intende settare un nuovo Default Configuration Domain Controller utilizzare il cmdlet Set-ADServerSettings indicando il nome del server:
Set-ADServerSettings –PreferredServer <nome_server>
ad es.
Set-ADServerSettings –PreferredServer DC2.contoso.com

sabato 4 giugno 2016

Ransomware BadBlock: Come recuperare i file

Tra i tanti ransomware in circolazione, BadBlock è forse quello realizzato peggio. Generalmente i ransomware provvedono a cifrare solo i dati utente, lasciando intatto il sistema operativo in modo che l'utente visualizzi le informazioni per il pagamento del riscatto. BadBlock, invece, cifra non solo i dati dell'utente ma anche tutti i file eseguibili compresi quelli di sistema, così al successivo avvio l'utente potrebbe incappare in un messaggio simile a quello visualizzato in FIG 1 e Windows non viene caricato.
Impossibile avviare Windows a causa di file mancante o corrotto
FIG 1 - Impossibile avviare Windows a causa di file mancante o corrotto

La maggior parte dei ransomware visualizzano il messaggio relativo al pagamento del riscatto solo quando hanno già cifrato tutti i dati dell'utente mentre BadBlock lo visualizza nel momento in cui inizia a cifrare i file e può essere bloccato terminando il processo badransom.exe dal Task Manager (Gestione attività).
BadBlock: richiesta pagamento riscatto
FIG 2 - BadBlock: richiesta pagamento riscatto

Il ransomware BadBlock si diffonde principalmente tramite email. 
Quando si viene infettati, la prima operazione da effettuare è quella di stoppare il processo da Task Manager. É consigliabile non riavviare il sistema in quanto se il ransomware è riuscito a cifrare un file del sistema operativo, al successivo avvio, Windows potrebbe non ripartire.
Per rimuovere il ransomware basta effettuare una scansione con MalwareBytes dopo aver aggiornato il database. 



Come recuperare i dati cifrati


Passo 1: 
Per recuperare i dati cifrati è possibile utilizzare il tool Decrypt BadBlock sviluppato da Fabian Wosar di Emsisoft. Il tool può essere scaricato da http://decrypter.emsisoft.com/download/badblock 

Passo 2: 
Creare una cartella sul desktop e inserire all'interno il tool appena scaricato. Copiare all'interno della cartella un file cifrato e lo stesso file non cifrato. Se non si dispone di un file non cifrato è possibile provare a cercare tra le immagini della cartella %public%.
Decrypt BadBlock: Creazione cartella sul desktop
FIG 3 - Decrypt BadBlock: Creazione cartella sul desktop

Passo 3: 
Selezionare i 2 file e trascinarli sull'eseguibile decrypt_badblock.exe. Nel caso venga visualizzata la finestra UAC (avviso di sicurezza) proseguire cliccando su OK. Il tool tenterà di ricavare la chiave di cifratura e al termine visualizzerà una finestra con la chiave trovata. Cliccare su OK per proseguire.
BadBlock: Decryption Key
FIG 4 - BadBlock: Decryption Key

Passo 4: 
Accettare la licenza di utilizzo cliccando su  per proseguire e visualizzare la finestra Emsisoft Decrypter for BadBlock.
Decrypt BadBlock - License terms
FIG 5 - Decrypt BadBlock - License terms

Passo 5: 
Per default il tool provvede a decriptare solo i file presenti sul disco C:. Per aggiungere altri dischi cliccare sul pulsante Add File(s) e indicare il disco da aggiungere alla lista. Quando pronti, cliccare sul pulsante Decrypt per avviare l'operazione. Al termine verrà visualizzato il log delle operazioni effettuate che è possibile salvare (cliccando su Save log) e consultare in seguito.
BadBlock: Emsisoft Decrypter
FIG 6 - BadBlock: Emsisoft Decrypter


BadBlock: Emsisoft Decrypter, risultati
FIG 7 - BadBlock: Emsisoft Decrypter, risultati

giovedì 19 maggio 2016

Ransomware TeslaCrypt: Decriptare tutte le versioni

Gli sviluppatori di TeslaCrypt hanno provveduto alla chiusura dei server e, dietro richiesta dei ricercatori ESET, hanno messo a disposizione la master key per recuperare i dati cifrati da tutte le versioni del ransomware (incluse la 3.0 e 4.x).

Gli sviluppatori del ransomware hanno rilasciato la master key di TeslaCrypt su rete Tor all'indirizzo wbozgklno6x2vfrk.onion

La master key è la seguente
440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE

A chi ha conservato i dati cifrati dal ransomware non resta che scaricare la versione aggiornata di TeslaDecoder  (sviluppato da BloodDolly di BleepingComputer) e procedere come segue.


  • Scaricata l'ultima versione di TeslaDecoder, scompattarla e avviare il file TeslaDecoder.exe
  • FIG 1 - TeslaDecoder
  • Cliccare sul pulsante Set Key. Nella casella Key (hex): incolliamo la master key e in Extension selezioniamo l'estensione dei nostri file cifrati (per i file cifrati con TeslaCrypt 4.x a cui non è stata modificata l'estensione selezionare <as original>), quindi cliccare Set Key


  • Si ritorna alla schermata vista in FIG 1. Non resta che cliccare su Decrypt Folder e selezionare la cartella (o l'intero disco) contenente i nostri file cifrati

lunedì 16 maggio 2016

Windows 10: Abilitare la modifica del suono di logon a Windows

Nella nuova versione di Windows non è possibile modificare il suono eseguito al logon dell'utente tramite il Pannello di Controllo. Per riabilitare questa opzione è necessario agire tramite il registro di sistema:
  • Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
  • Posizionarsi su HKEY_CURRENT_USER\AppEvents\EventLabels\WindowsLogon
  • Impostare a 0 il valore DWORD ExcludeFromCPL
    ExcludeFromCPL
    FIG 1 - ExcludeFromCPL
Una volta eseguita la modifica, accedendo al Pannello di Controllo -> Hardware e suoni e selezionando l'opzione Cambia Segnali acustici emessi dal sistema nella sezione Audio, noteremo l'opzione Accesso a Windows (FIG 2) che ci consente di modificare il suono emesso al logon dell'utente.
Audio, Accesso a Windows
FIG 2 - Audio, Accesso a Windows
Per scaricare i file .reg che abilitano/disabilitano la modifica del suono al logon, cliccare su DOWNLOAD



giovedì 12 maggio 2016

Windows Quick Tip: Impedire il download automatico dei driver da parte di Windows Update

Oltre all'aggiornamento del sistema operativo e di altre applicazioni Microsoft, Windows Update provvede anche al download e all'installazione dei driver aggiornati delle periferiche. Tale comportamento è generalmente ben accetto ma nel caso in cui Windows non riconosca correttamente una periferica potrebbe installare driver errati e rendere il sistema instabile. É possibile impedire a Windows Update di eseguire il download dei driver delle periferiche.

In Windows 7, Windows 8 e 8.1 si può procedere nel seguente modo:
  • Accedere al Pannello di controllo e accedere alla sezione Sistema e sicurezza/Sistema (oppure premere la combinazione di tasti WIN+Pausa);
  • Cliccare sul collegamento Impostazioni di sistema avanzate;
    Impostazioni di sistema avanzate
    FIG 1 - Impostazioni di sistema avanzate
  • Selezionare la scheda Hardware, quindi cliccare su Impostazioni installazione dispositivo;

    Proprietà di sistema - Hardware
    FIG 2 - Proprietà di sistema - Hardware
  • Nella schermata successiva selezionare l'opzione Chiedi ogni volta per far apparire altre opzioni. Selezionare Non installare mai il driver da Windows Update quindi salvare le modifiche cliccando sull'apposito tasto.

    Impostazioni installazione dispositivo
    FIG 3 - Impostazioni installazione dispositivo


In Windows 10 le schermate sono state modificare ma possiamo eseguire l'operazione agendo tramite il registro di sistema.
  • Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
  • Posizionarsi su HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DriverSearching
  • Impostare a 0 il valore DWORD SearchOrderConfig
SearchOrderConfig
FIG 4 - SearchOrderConfig

Dal seguente link è possibile scaricare i file .reg per abilitare/disabilitare il download automatico dei driver da parte di Windows Update
DOWNLOAD