mercoledì 29 giugno 2016

Ransomware ApocalypseVM: Recupero dei file

Circola una nuova variante del ransomware Apocalypse: ApocalypseVM. Al fine di rendere difficile il reverse engineering del malware da parte degli esperti di sicurezza, gli sviluppatori hanno provveduto a proteggerlo tramite l'utilizzo di VMProtect (un utility di compressione che provvede ad offuscare il codice contenuto nel file). Questa nuova variante del ransomware aggiunge ai file cifrati l'estensione .encrypted e .locked e, per ogni file cifrato, provvede alla creazione di un file di testo del tipo [filename].How_To_Get_Back.txt contenente le informazioni per il pagamento del riscatto. Anche per questa variante del ransomware Fabian Wosar di Emsisoft ha creato un tool per il recupero dei file cifrati. Il tool Emsisoft Decrypter for ApocalypseVM può essere scaricato dal seguente link:
DOWNLOAD

Per recuperare i propri dati basta trascinare la versione cifrata e quella non cifrata di un file (di almeno 4096 byte) sul file eseguibile del tool al fine di generare la chiave privata.
Una finestra di dialogo mostrerà la chiave privata recuperata e, cliccando su OK, verrà visualizzata una nuova schermata che consentirà di decriptare i dati tramite il pulsante Decrypt. Al termine dell'operazione, nella scheda Results, verranno visualizzati i risultati.


Emsisoft Decrypter for ApocalypseVM
FIG 1 - Emsisoft Decrypter for ApocalypseVM



mercoledì 22 giugno 2016

Windows Quick Tip: Determinare il tipo di licenza di Windows (OEM, Retail, Volume Licensing)

Il sistema operativo di Microsoft viene distribuito con diversi tipi di licenza. Ciascuna licenza differisce dalle altre per restrizioni, termini e condizioni di utilizzo. I tipi di licenza più diffusi tra i software sono OEM, Retail e Volume.

OEMOriginal Equipment Manufacturer. Questo tipo di licenza è legata all'hardware con cui viene venduta e non è trasferibile su altri PC né può essere acquistata separatamente.

Retail: Conosciuta anche come FPP (Full Packaged Product), si tratta del prodotto 'confezionato' e acquistato da Microsoft oppure da un rivenditore autorizzato. In questo caso l'utente può trasferire la licenza da un PC all'altro.

Volume Licensing: É ideale per le aziende che necessitano di più copie del sistema operativo. Con tale licenza è possibile eseguire installazione multiple sui PC dell'azienda utilizzando una unica VLK (Volume License Key). 


Per verificare il tipo di licenza del proprio sistema:
  • Avviare il Prompt dei comandi;
  • Digitare ed eseguire il seguente comando
    slmgr -dli
    Nella finestra di dialogo Windows Script Host verrà visualizzato il tipo di licenza ed eventuali ulteriori dettagli

Licenza di Windows
FIG 1 - Licenza di Windows

martedì 21 giugno 2016

Windows Quick Tip: Verificare lo stato di salute della batteria in Windows 8 e Windows 10

Con Windows 8 la Microsoft ha introdotto la possibilità di generare un report sullo stato della batteria del proprio dispositivo. Il report viene generato tramite il comando powercfg e ci fornisce molte informazioni sulla batteria consentendoci di verificarne lo stato di salute.

I passaggi da seguire sono molto semplici:
  • Avviare il prompt dei comandi (WIN+X e selezionare Prompt dei comandi)

    WIN+X e selezionare Prompt dei comandi
    FIG 1 - WIN+X e selezionare Prompt dei comandi
  • Digitare ed eseguire il seguente comando
    powercfg /batteryreport
    Il processo potrebbe richiedere un pò di tempo al termine del quale verrà visualizzato il percorso del file HTML contenente il report.

    Powercfg /batteryreport
    FIG 2 - Powercfg /batteryreport

Dettagli relativi al Battery Report

Il report generato non è altro che un file html contenente informazioni sulla batteria suddivise in diverse sezioni. Nella prima parte del report vengono visualizzare informazioni generali sul sistema come il nome, il modello, la versione del BIOS, il sistema operativo, se è supportata la modalità Connected Standby (particolare modalità di risparmio energetico) e la data di generazione del report stesso.


Battery report
FIG 3 - Battery report

Installed batteries
In questa sezione vengono riportate le informazioni sulle batterie installate nel sistema (generalmente ne troveremo solo una) tra cui il nome, il produttore, il numero seriale (se disponibile) e la composizione chimica ma i dati più importanti sono quelli relativi alle voci Design Capacity, Full Charge Capacity e Cycle count che rappresentano la capacità originale (di progettazione) della batteria, la sua capacità attuale e i cicli di ricarica a cui è stata sottoposta. Dalla FIG 4 è possibile vedere che la batteria analizzata è stata sottoposta a 374 cicli di ricarica, che la sua capacità originaria era di 37mWh mentre l'attuale capacità massima è di 33 mWh (valore destinato a scendere ulteriormente con l'usura della batteria e con l'aumentare delle ricariche effettuate). 
Battery report, Installed batteries
FIG 4 - Battery report, Installed batteries

Recent usage
Nella sezione Recent usage vengono visualizzati i dati relativi allo stato e all'utilizzo della batteria negli ultimi 3 giorni. É possibile vedere quando il dispositivo è stato acceso/sospeso e la quantità di carica rimanente ogni volta permettendoci di capire il consumo dopo ogni utilizzo.


Battery report, Recent usage
FIG 5 - Battery report, Recent usage

Battery usage
La sezione Battery usage mostra, tramite l'utilizzo di un grafico, le informazioni già viste nella sezione Recent usage. Anche in questo caso il grafico fa riferimento agli ultimi 3 giorni di utilizzo.
Battery report, Battery usage
FIG 6 - Battery report, Battery usage

Usage History
In Usage History è possibile verificare per quanto tempo il dispositivo è stato usato alimentato dalla batteria e per quanto tempo è stato usato collegato alla rete elettrica.
Battery report, Usage History
FIG 7 - Battery report, Usage History

Battery capacity history
Questa sezione è utile per visualizzare come la capacità massima della batteria decresce nel tempo. Le statistiche partono dall'installazione di Windows 8/10 sul PC.

Battery report, Battery capacity history
FIG 8 - Battery report, Battery capacity history

Battery life estimates

In Battery life estimates viene visualizzata la durata massima della batteria. In particolare nell'ultima riga, mostrata in FIG 10, viene indicata l'autonomia della batteria in origine (quando è stato installato il sistema operativo Windows 8/10) e l'attuale autonomia massima. In questo caso si evince che l'autonomia è diminuita di circa 13 min.

Battery report, Battery life estimates
FIG 9 - Battery report, Battery life estimates
Battery report, Battery current estimate
FIG 10 - Battery report, Battery current estimate
Tutte queste informazioni presenti nel report sono utili per farsi un'idea sullo stato di salute della batteria e capire quando è arrivato il momento di sostituirla.

lunedì 20 giugno 2016

Windows Quick Tip: Cambiare la directory di default del Prompt dei Comandi

Quando da Windows viene aperto il prompt dei comandi, la cartella di default è /users/<nome_utente> (o /Documents and Settings/<nome_utente> per Windows XP e antecedenti).

Directory di default del Prompt dei Comandi
FIG 1 - Directory di default del Prompt dei Comandi
Per chi utilizza frequentemente il Prompt dei Comandi può far comodo modificare il percorso di default. Per farlo è possibile agire tramite il registro di sistema:
  • Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
  • Posizionarsi su 
    HKEY_CURRENT_USER\Software\Microsoft\Command Processor
  • Creare un valore Stringa, rinominarlo in Autorun e assegnargli il seguente valore
    CD /d C:\Windows\System32
    ovviamente sostituendo C:\Windows\System32 con il percorso della directory desiderata


    Modifica della directory di default del Prompt dei Comandi
    FIG 2 - Modifica della directory di default del Prompt dei Comandi
La modifica sarà subito attiva e non necessita del riavvio del sistema o la disconnessione/riconnessione dell'utente. All'interno del valore Autorun è possibile anche richiamare un file come ad es. un file Batch (.BAT) contenente una serie di comandi da eseguire all'avvio del Prompt.

giovedì 16 giugno 2016

Ransomware Apocalypse: Recupero dei file

Apocalypse è uno dei tanti ransomware in circolazione. Diffuso prevalentemente tramite email, una volta installato crea un file eseguibile nominato windowsupdate.exe in C:\Program File (x86) inoltre crea un valore Windows Update Svc all'interno della chiave di registro HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ che permette al ransomware di avviarsi ogni volta che l'utente effettua il logon al sistema. Quando Apocalypse viene eseguito, provvede a cifrare tutti i file tranne i file presenti in C:\Windows e quelli aventi le seguenti estensioni:  .bat, .bin, .com, .dat, .dll, .encrypted, .exe, .ini, .lnk, .msi, .sys, .tmp

Ai file cifrati viene aggiunta l'estensione .encrypted e viene creato un nuovo file dal nome <nome_file_cifrato>.How_To_Decrypt.txt contenente le istruzioni per il pagamento del riscatto. Terminata l'operazione di cifratura, Apocalypse impedisce all'utente di accedere al proprio desktop visualizzando una schermata di blocco con il seguente messaggio:

IF YOU ARE READING THIS MESSAGE, ALL THE FILES IN THIS COMPUTER HAVE BEEN CRYPTED!!
documents, pictures, videos, audio, backups, etc
IF YOU WANT TO RECOVER YOUR DATA, CONTACT THE EMAIL BELOW.
EMAIL: decryptionservice@mail.ru
WE WILL PROVIDE DECRYPTION SOFTWARE TO RECOVER YOUR FILES.
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
IF YOU DONT CONTACT BEFORE 72 HOURS, ALL DATA WILL BE LOST FOREVER
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Recuperare i dati cifrati da Apocalypse

Liberarsi del ransomware non è difficile e, grazie ad un tool sviluppato da  Fabian Wosar di Emsisoft, è possibile recuperare anche i propri file.

  • Il primo passo da seguire è quello di avviare il sistema in modalità provvisoria con supporto di rete (Safe Mode with Networking).
  • Una volta in modalità provvisoria possiamo disabilitare l'avvio automatico del ransomware eliminando il seguente valore all'interno del registro di sistema HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows Update Svc oppure disabilitandolo tramite msconfig (o dalla scheda Avvio di Gestione Attività)
    Sezione Avvio da Gestione attività
    FIG 1 - Sezione Avvio da Gestione attività
  • Scaricare il took di Emsisoft decrypt_apocalypse.exe dal seguente link http://decrypter.emsisoft.com/download/apocalypse e avviarlo
  • Accettare la licenza

    Licenza Decrypter for Apocalypse
    FIG 2 - Licenza Decrypter for Apocalypse
  • Il tool seleziona per default la partizione C: del disco. Cliccando su Add file(s) possiamo aggiungere altre partizioni o cartelle.

    Emsisoft Decrypter for Apocalypse
    FIG 3 - Emsisoft Decrypter for Apocalypse
  • Quando siamo pronti basta cliccare su Decrypt. Tutti i file presenti nel disco selezionato e nelle relative sottocartelle verranno decriptati. I risultati/progressi saranno visibili dal tool all'interno della scheda Results.


martedì 7 giugno 2016

Windows Quick Tip: Analizzare la velocità dei browser

La velocità di navigazione in Internet non dipende solo dalla velocità e qualità della connessione ma è influenzata da numerosi fattori: prestazioni del PC, browser utilizzato e relativo motore di rendering, plug-in installati, personalizzazioni effettuate, codice sorgente della pagina, ecc.
Per valutare la velocità del proprio browser e per verificare quanto incide sulle prestazioni un determinato plug-in o personalizzazione è possibile utilizzare uno dei tanti servizi online.
Uno dei servizi che è possibile utilizzare allo scopo è SunSpider: un benchmark in Javascript realizzato da WebKit. Il benchmark è in parte superato per valutare le reali prestazioni del motore di rendering ma fornisce alcune utili funzioni per confrontare i risultati dei vari test permettendoci di discriminare l'elemento che rallenta il nostro browser.
Per eseguire il benchmark raggiungere il seguente indirizzo https://webkit.org/perf/sunspider/sunspider.html e cliccare sul link Start Now!
Dopo pochi secondi verranno visualizzati i risultati e un indirizzo URL lunghissimo che è possibile salvare per effettuare un confronto con test successivi. All'interno della stessa pagina dei risultati, infatti, è presente un campo in cui è possibile incollare l'indirizzo URL di un test precedente ed effettuare un confronto immediato tra i risultati (FIG. 2).
SunSpider risultati test
FIG 1 - SunSpider risultati test

Sunspider, confrontare i risultati dei test
FIG 2 - Sunspider, confrontare i risultati dei test

lunedì 6 giugno 2016

MS Exchange: Reperire informazioni sul Default Configuration Domain Controller

Per determinare quale sia il Default Configuration Domain Controller è possibile agire tramite il registro eventi del server Exchange: dal registro Eventi->Applicazioni cercare l'evento con ID 2081.

L'informazione può essere ottenuta anche tramite EMS digitando il seguente comando:
Get-ADServerSettings | fl

L'output visualizzato dal cmdlet è simile al seguente e l'informazione di nostro interesse è indicata da DefaultConfigurationDomainController 

RunspaceId                                     : 70db61a2-743b-4d7b-9a26-76a049b449a4
DefaultGlobalCatalog                           : DC2.contoso.com
PreferredDomainControllerForDomain             : {}
DefaultConfigurationDomainController           : DC1.contoso.com
DefaultPreferredDomainControllers              : {DC2.contoso.com}
UserPreferredGlobalCatalog                     :
UserPreferredConfigurationDomainController     :
UserPreferredDomainControllers                 : {}
DefaultConfigurationDomainControllersForAllForests : {(contoso.com, DC1.contoso.com)}
DefaultGlobalCatalogsForAllForests     : {(contoso.com, DC2.contoso.com)}
RecipientViewRoot                              : contoso.com
ViewEntireForest                               : False
WriteOriginatingChangeTimestamp                : False
WriteShadowProperties                          : False
Identity                                       :
IsValid                                        : True
ObjectState                                    : New



Se si intende settare un nuovo Default Configuration Domain Controller utilizzare il cmdlet Set-ADServerSettings indicando il nome del server:
Set-ADServerSettings –PreferredServer <nome_server>
ad es.
Set-ADServerSettings –PreferredServer DC2.contoso.com