venerdì 12 febbraio 2021

Ransomware Ziggy: Decriptare i file

Come visto per tanti ransomware, anche Ziggy blocca l'accesso ai file cifrando il loro contenuto (tramite l'utilizzo degli algoritmi RSA-4096 e AES-256 GCMe richiedendo un riscatto. In tutte le cartelle contenenti file cifrati viene creato il file "## HOW TO DECRYPT ##.exe", un file eseguibile che visualizza le istruzioni per il pagamento del riscatto. I file cifrati vengono rinominati aggiungendo al nome l'ID della vittima, l'indirizzo email lilmoon1@criptext.com e, infine, l'estensione .ziggy.

Ad esempio il file
foto.jpg
verrà rinominato dal ransomware in qualcosa del tipo
foto.jpg.id=[A235D928].email=[lilmoon1@criptext.com].ziggy

Nel messaggio di riscatto la vittima viene invitata a contattare un indirizzo email indicando il proprio ID per procedere al pagamento del riscatto in Bitcoin. Una volta effettuato il pagamento verranno inviati un tool e relative istruzioni per procedere al recupero dei propri dati. Nel messaggio viene anche indicato che il prezzo da pagare dipende da quanto celermente le vittime contatteranno gli sviluppatori del ransomware facendo intendere che più tempo passa dall'infezione più alto sarà il riscatto. Prima di effettuare il pagamento, alla vittima viene data la possibilità di inviare 5 file che verranno decrittati gratuitamente (una sorta di prova di affidabilità). 
In questi casi dovrebbe essere superfluo ricordare che, avendo a che fare con criminali, il pagamento del riscatto non garantisce il recupero dei dati.
Ziggy, messaggio del riscatto
FIG 1 - Ziggy, messaggio del riscatto


Da qualche giorno i server di Ziggy sono stati chiusi e gli sviluppatori, forse anche per le recenti operazioni di polizia contro i ransomware Emotet e Netwalker, hanno deciso di rendere pubbliche le chiavi di decrittazione. Gli sviluppatori del ransomware hanno rilasciato un file SQL contenente, per ciascuna vittima, 3 chiavi da utilizzare per decrittare i dati ed è stato rilasciato anche il relativo tool. 
File SQL con chiavi di decrittazione
FIG 2 - File SQL con chiavi di decrittazione

Decryptor fornito dagli sviluppatori di Ziggy
FIG 3 - Decryptor fornito dagli sviluppatori di Ziggy


Il ransomware procedeva a criptare i dati degli utenti con chiavi di cifratura offline nel caso in cui le vittime non fossero connesse ad Internet o nel caso in cui i server C & C non fossero raggiungibili. Gli sviluppatori hanno anche condiviso il codice sorgente del decryptor contenente le chiavi di decrittazione offline.

Grazie alle informazioni e alle chiavi rilasciate, l'esperto di ransomware Michael Gillespie ha creato il tool Emsisoft Decryptor for Ziggy che permette alle vittime di recuperare i propri dati:
  • Il tool può essere scaricato da https://www.emsisoft.com/ransomware-decryption-tools/ziggy
  • Una volta avviato, per proseguire, è necessario accettare i termini di licenza cliccando sul pulsante Yes.
    Decryptor for Ziggy, Licenza
    FIG 4 - Decryptor for Ziggy, Licenza

  • Cliccare sull'unico pulsante Browse attivo, selezionare un file crittografato da recuperare quindi cliccare su Start per avviare l'analisi.
    Decryptor for Ziggy
    FIG 5 - Decryptor for Ziggy

  • Al termine dell'analisi verrà visualizzata una finestra di dialogo informativa relativa alle chiavi di decrittazione trovate. Per proseguire cliccare su OK.
    Decryptor for Ziggy, Decryption Key found
    FIG 6 - Decryptor for Ziggy, Decryption Key found

  • La scansione e il recupero dei file cifrati viene, di default, effettuata su tutti i dischi e drive removibili connessi al sistema. Tramite il pulsante Add folder è possibile aggiungere nuovi percorsi o rimuoverli utilizzando i pulsanti Remove object(s), per eliminare quelli selezionati, o Clear object list per azzerare l'elenco. All'interno della scheda Options è possibile indicare se mantenere o eliminare i file cifrati una volta decrittati. Dopo aver effettuato le personalizzazioni desiderate è possibile cliccare su Decrypt per avviare il processo.

    Decryptor for Ziggy, Decrypt
    FIG 7 - Decryptor for Ziggy, Decrypt

  • Nella scheda Results sarà possibile visualizzare i dettagli sull'operazione di recupero in corso.





giovedì 11 febbraio 2021

Ransomware Fonix: Decriptare i file

Scoperto dal ricercatore di sicurezza Michael Gillespie  il ransomware Fonix, anche conosciuto come FonixCrypter e XINOF, è stato rilasciato a giugno 2020 ma solo a partire dal mese di novembre dello stesso anno le vittime sono aumentate in maniera significativa. Fonix, come gran parte dei ransomware, provvede a cifrare i file della vittima e a visualizzare una richiesta di riscatto.

I file cifrati vengono rinominati: al nome del file viene aggiunto l'indirizzo email fonix@tuta.io, l'ID della vittima e l'estensione .Fonix
Ad esempio un file 
foto.jpg
viene rinominato dal ransomware in
foto.jpg.EMAIL=[fonix@tuta.io]ID=[FE867B00].Fonix

Le istruzioni su come pagare il riscatto risiedono all'interno del file "# How To Decrypt Files #.hta" presente in ogni cartella contenente i dati cifrati.
Nel messaggio di riscatto viene indicato che il ransomware cripta i file utilizzando l'algoritmo di crittografia Salsa20 e la chiave RSA 4098. Per ottenere una chiave di decrittazione, le vittime sono invitate a pagare una certa somma tramite Bitcoin. Per ottenere istruzioni su come acquistare la chiave, alla vittima viene richiesto di inviare un'e-mail a fonix@tuta.io entro 48 ore dall'attacco di Fonix, poiché dopo questo periodo il costo raddoppierà. Prima di effettuare il pagamento, viene offerta la possibilità di inviare un file criptato gratuitamente per la decrittazione. Il messaggio avvisa  di non eliminare o rinominare i file crittografati, né di provare a decifrarli con altri software, perché questo danneggerà permanentemente i dati. 
Ovviamente, trattandosi di criminali, non è garantito che pagando il riscatto si riceva la chiave di decrittazione.
Ransomware Fonix, richiesta di riscatto
FIG 1 - Ransomware Fonix, richiesta di riscatto



Decriptare i file
A fine gennaio 2021 uno degli admin di Fonix ha comunicato la chiusura dei server utilizzati dal ransomware e ha rilasciato una chiave pubblica insieme ad un tool per la decrittazione dei file. Il tool non è di semplice utilizzo per i meno esperti. Fortunatamente  il team Kaspersky ha aggiornato il suo RakhniDecryptor e le vittime possono facilmente ripristinare i loro dati utilizzando questo strumento.
Annuncio Fonix Admin
FIG 2 - Annuncio Fonix Admin

I passaggi da seguire per il recupero dei dati sono semplici:
  • Il tool può essere scaricato da https://noransom.kaspersky.com/.
    Download Rakhni Decryptor
    FIG 3 - Download Rakhni Decryptor

  • Una volta scaricato il file .zip, estrarre il suo contenuto ed eseguire il file RakhniDecryptor.exe.
  • Per proseguire è necessario accettare la licenza di utilizzo cliccando sul pulsante Accept.
    Licenza Rakhni Decryptor
    FIG 4 - Licenza Rakhni Decryptor

  • La scansione viene, di default, effettuata su tutti i dischi e drive removibili connessi al sistema. Cliccando su link Change parameters sarà possibile specificare ulteriori percorsi e indicare se eliminare i file cifrati una volta decrittati (FIG 6).
    RakhniDecryptor
    FIG 5 - RakhniDecryptor

    RakhniDecryptor, Change parameters
    FIG 6 - RakhniDecryptor, Change parameters

  • Nella schermata principale cliccando su Start scan verrà eseguita la scansione dei drive e la decrittazione dei file. Non resta che attendere la fine dell'operazione e la visualizzazione del report.







domenica 7 febbraio 2021

Come ricercare file di grandi dimensioni tramite il Prompt dei comandi

Tramite il prompt dei comandi è possibile ricercare i file di grandi dimensioni utilizzando il comando forfiles.

Digitando 
forfiles /?
seguito da invio verrà mostrato l'help del comando con informazioni sulla sintassi e i vari parametri come indicato di seguito.


FORFILES [/P nomepercorso] [/M mascheraricerca] [/S]
         [/C comando] [/D [+ | -] {dd/MM/yyyy | dd}]

Descrizione:
    Seleziona un file, o un gruppo di file, e esegue un
    comando sul file selezionato. Utile per i processi batch.

Elenco parametri:
    /P    nomepercorso  Indica il percorso da cui avviare la ricerca.
                        La cartella predefinita è la directory di lavoro
                        corrente.

    /M    masch.ricerca Esegue la ricerca di file in base a una
                        maschera di ricerca.
                        La maschera di ricerca predefinita è '*' .

    /S                  Indica la ricerca ricorsiva nelle
                        sottodirectory. Come "DIR /S".

    /C    comando       Indica il comando da eseguire per ciascun file.
                        Le stringhe del comando devono essere
                        racchiuse tra virgolette doppie.

                        Il comando predefinito è "cmd /c echo @file".

                        È possibile utilizzare le seguenti variabili nella
                        stringa di comando:
                        @file    - Restituisce il nome del file.
                        @fname   - Restituisce il nome file senza
                                   estensione.
                        @ext     - Restituisce solo l'estensione del
                                   file.
                        @path    - Restituisce il percorso completo del file.
                        @relpath - Restituisce il percorso relativo del
                                   file.
                        @isdir   - Restituisce "TRUE" se il tipo di file è
                                   una directory e "FALSE" per i file.
                        @fsize   - Restituisce le dimensioni del file in
                                   byte.
                        @fdate   - Restituisce la data dell'ultima modifica del
                                   file.
                        @ftime   - Restituisce l'ora dell'ultima modifica del
                                   file.

                        Per includere caratteri speciali nella riga
                        di comando, utilizzare il codice esadecimale
                        per il carattere nel formato 0xHH (ad esempio,
                        0x09 per TAB). I comandi interni CMD.exe
                        devono essere preceduti da "cmd /c".

    /D    data          Seleziona i file con la data dell'ultima
                        modifica successiva
                        o uguale a (+), o precedente o uguale alla
                        (-), data specificata utilizzando il
                        formato "dd/MM/yyyy", o seleziona i file con
                        la data dell'ultima modifica successiva
                        o uguale alla (+) data corrente più
                        "gg" giorni, o precedente o uguale alla
                        (-) data corrente meno "gg" giorni. Un numero
                        "gg" di giorni valido può essere qualsiasi numero
                        compreso tra 0 e 32768.
                        "+" viene considerato il segno predefinito se
                        non altrimenti specificato.

    /?                  Visualizza questo messaggio della Guida.

Esempi:
    FORFILES /?
    FORFILES
    FORFILES /P C:\WINDOWS /S /M DNS*.*
    FORFILES /S /M *.txt /C "cmd /c type @file | more"
    FORFILES /P C:\ /S /M *.bat
    FORFILES /D -30 /M *.exe
             /C "cmd /c echo @path 0x09 è stato modificato 30 giorni fa"
    FORFILES /D 01/01/2001
             /C "cmd /c echo @fname è stato modificato dopo il 1 gennaio 2001"
    FORFILES /D +4/2/2021 /C "cmd /c echo @fname è stato modificato oggi"
    FORFILES /M *.exe /D +1
    FORFILES /S /M *.doc /C "cmd /c echo @fsize"
    FORFILES /M *.txt /C "cmd /c if @isdir==FALSE notepad.exe @file"


Per ricercare file che superano la dimensione di 100MB (104857600 byte) in tutte le sottocartelle si può utilizzare il comando
forfiles /S /M * /C "cmd /c if @fsize GEQ 1048576 echo @path"

Se si intende visualizzare, oltre al path, anche la dimensione effettiva del file 
forfiles /S /M * /C "cmd /c if @fsize GEQ 1048576 echo @path - @fsize "


Prompt dei comandi - ForFiles
FIG 1 - Prompt dei comandi - ForFiles








mercoledì 3 febbraio 2021

Windows 10: Unità SATA interna rilevata come supporto rimovibile

A seconda di come vengono contrassegnate le porte SATA sulla scheda madre da parte del BIOS, può capitare che i driver di Windows rilevino i dispositivi SATA interni (HDD o SDD) come unità rimovibili. Si tratta di una situazione che può essere una causa potenziale di danni o perdita di dati.

Per risolvere il problema:
  • Aprire un prompt dei comandi con privilegi di amministratore.
  • Digitare il seguente comando seguito da invio per avviare Gestione dispositivi
    devmgmt.msc
  • Espandere la voce Unità disco, individuare il disco su cui si intende agire e visualizzare le proprietà (doppio click con il tasto sinistro del mouse oppure cliccarci su con il tasto destro e selezionare Proprietà).
    Gestione dispositivi
    FIG 1 - Gestione dispositivi

  • Nella finestra delle proprietà prendere nota del Bus number (in FIG 2 il Bus Number è 0).
    Bus Number
    FIG 2 - Bus Number
  • Ritornare al prompt dei comandi aperto in precedenza e digitare il seguente comando seguito da invio 
    reg.exe add "HKLM\SYSTEM\CurrentControlSet\Services\storahci\Parameters\Device" /f /v TreatAsInternalPort /t REG_MULTI_SZ /d x
    dove al posto di x va indicato il bus number annotato precedentemente




domenica 31 gennaio 2021

PowerShell: Rimuovere un gruppo Active Directory

Microsoft Active Directory rappresenta il nodo centrale per l'amministrazione, l'autorizzazione e l'autenticazione. Per semplificare la gestione degli accessi e migliorare la sicurezza, nelle aziende di medie e grandi dimensioni, spesso vengono utilizzati i gruppi di sicurezza di Active Directory che possono contenere account utente, account computer e altri gruppi. Anche i gruppi di distribuzione vengono utilizzati altrettanto spesso. 
Per maggiori informazioni sui gruppi rimando all'articolo Windows Server 2019: Creazione gruppi in Active Directory in cui è stato anche illustrato il cmdlet New-ADGroup.

Entrambi i tipi di gruppi possono essere gestisti tramite PowerShell utilizzando il modulo Active Directory che fu introdotto a partire da Windows Server 2008 R2 ed è abilitato di default in Windows Server 2012 e successivi. Per visualizzare l'elenco completo dei cmdlet contenuti all'interno del modulo Active Directory è possibile eseguire il comando
Get-Command -Module ActiveDirectory
L'elenco comprende 147 cmdlet ma solo 11 sono relativi ai gruppi di Active Directory:
Add-ADGroupMember
Add-ADPrincipalGroupMembership
Get-ADAccountAuthorizationGroup
Get-ADGroup
Get-ADGroupMember
Get-ADPrincipalGroupMembership
New-ADGroup
Remove-ADGroup
Remove-ADGroupMember
Remove-ADPrincipalGroupMembership
Set-ADGroup

PowerShell, cmdlet modulo Active Directory
FIG 1 - PowerShell, cmdlet modulo Active Directory


In questo articolo vedremo come rimuovere un gruppo Active Directory utilizzando il cmdlet Remove-ADGroup. Per visualizzare la sua sintassi eseguire il comando
Get-Command Remove-ADGroup –Syntax

Sintassi
Remove-ADGroup
      [-WhatIf]
      [-Confirm]
      [-AuthType <ADAuthType>]
      [-Credential <PSCredential>]
      [-Identity] <ADGroup>
      [-Partition <String>]
      [-Server <String>]
      [<CommonParameters>]
  
Parametri

-AuthType 
Specifica il metodo di autenticazione. I valori accettati dal parametro sono:
  • Negotiate oppure 0 (default)
  • Basic oppure 1
-Confirm
Se specificato, tale parametro mostra la richiesta di conferma prima di eseguire il cmdlet.

-Credential
Specifica le credenziali dell'account utente con cui eseguire il comando. Se omesso viene considerato l'utente corrente che sta eseguendo il comando. Al parametro può essere passato il nome dell'account, come ad es. "utente01" o "Dominio\utente01" oppure può essere passato un'oggetto PSCredential generato dal cmdlet Get-Credential. Se viene specificato un'account utente verrà richiesto di inserire la password all'esecuzione del comando.

-Identity
Tale parametro specifica l'oggetto gruppo Active Directory su cui si desidera intervenire. Al parametro può essere passato un qualsiasi valore che identifica il gruppo in maniera univoca come:
Distinguished name
GUID (objectGUID)
Security identifier (objectSid)
Security Account Manager account name (sAMAccountName) 

-Partition
A tale parametro va passato il Distinguished Name (DN) di una partizione di Active Directory. Il cmdlet utilizzerà tale partizione per ricercare l'oggetto specificato dal parametro Identity.

-Server
Permette di specificare l'istanza di Active Directory Domain Services a cui connettersi per la rimozione del gruppo.

-WhatIf
Mostra cosa accadrebbe se venisse eseguito il cmdlet. Il cmdlet non viene eseguito.


Rimuovere un gruppo Active Directory
Per rimuovere un gruppo Active Directory basta semplicemente eseguire il comando
Remove-ADGroup -Identity Gruppo1
dove al posto di Gruppo1 va specificato il nome del gruppo

Se vogliamo cancellare tutti i gruppi Active Directory i cui nomi iniziano per Gruppo possiamo eseguire
Get-ADGroup -Filter 'Name -like "Gruppo*"' | Remove-ADGroup

PowerShell, Remove-ADGroup
FIG 2 - PowerShell, Remove-ADGroup








giovedì 28 gennaio 2021

Windows 10: Gestione attività, impostare la scheda predefinita

Gestione attività (nelle vecchie versioni di Windows conosciuto come Task Manager) è uno strumento integrato nei sistemi operativi Windows. Inizialmente utilizzato prevalentemente per terminare applicazioni bloccate o in stallo, nel corso degli anni ha assunto un ruolo sempre più importante ed è stato oggetto di diversi aggiornamenti volti ad integrare nuove funzionalità. Nelle nuove versioni Gestione attività può essere utilizzato per indagare sul funzionamento del sistema, controllare l'uso delle risorse hardware da parte delle applicazioni, verificare le applicazioni eseguite all'avvio e i vari servizi/processi in esecuzione.
Nelle ultime versioni di Gestione attività (da Windows 10 versione 1903) è possibile impostare la scheda da visualizzare in primo piano all'apertura del tool. Anche se può sembrare un'operazione superflua, può far risparmiare molto tempo a chi utilizza di frequente tale strumento:
  • Avviare Gestione attività (si può utilizzare la combinazione di tasti CTRL+SHIFT+ESC) e dal menu Opzioni selezionare Imposta pannello predefinito.
  • Selezionare la scheda che si intende impostare come default.
    Gestione attività
    FIG 1 - Gestione attività






lunedì 25 gennaio 2021

Windows Server 2019: File Server. Screening dei file

Sui file server è buona norma effettuare lo screening dei file per inibire la creazione o il salvataggio di alcuni tipi di file. Ad esempio possiamo fare in modo che gli utenti, all'interno della loro cartella sul server, non possano salvare audio, video o file eseguibili. Per raggiungere tale scopo è possibile creare un modello (template), da applicare alle cartelle, che impedisca la creazione o copia di determinati tipi di file. Vediamo passo passo come fare:
  • Da Server Manager cliccare su Strumenti quindi su Gestione risorse file server.
    Sever Manager, Strumenti
    FIG 1 - Sever Manager, Strumenti

  • Cliccare su Gestione screening dei file quindi su Gruppi di file. Come visibile in FIG 2 alcuni gruppi sono già presenti. Possiamo utilizzare uno o più gruppi esistenti o crearne uno nuovo. In questo articolo creeremo il nostro gruppo.
    Gestione screening dei file
    FIG 2 - Gestione screening dei file

  • Cliccare su Crea gruppo di file.
    Screening dei file, Crea Gruppo di file
    FIG 3 - Screening dei file, Crea Gruppo di file

  • Nella casella Nome gruppo di file, digitare il nome che si intende assegnare al gruppo (ad es. Gruppo Personale).
    Crea proprietà gruppo di file, Nome gruppo di file
    FIG 4 - Crea proprietà gruppo di file, Nome gruppo di file

  • In File da includere digitare il tipo di file (ad es. *.exe) e cliccare su Aggiungi. Ripetere questo passaggio per gli altri tipo di file che si intende gestire (come *.bat, *.com, *.msi, *.mp3, *.mp4, *.avi, *.mkv, *.flv, *.wav). Infine cliccare su OK per creare il gruppo.
    Crea proprietà gruppo di file, File da includere
    FIG 5 - Crea proprietà gruppo di file, File da includere

  • Il passo successivo consiste nella creazione del template. Cliccare su Modelli per lo screening dei file quindi su Crea modello per lo screening dei file.
    Modelli per lo screening dei file
    FIG 6 - Modelli per lo screening dei file

  • Nella caselle Nome modello digitare il nome che si intende assegnare (ad es. Template Personale). Selezionando l'opzione Screening attivo gli utenti non potranno salvare i tipi di file inibiti. Attivando l'opzione Screening passivo, invece, gli utenti potranno salvare i file ma l'amministratore viene avvisato che l'utente ha salvato un tipo di file specificato nel gruppo. Lasciare attiva l'opzione Screening attivo e in Selezionare i gruppi di file da bloccare, selezionare il gruppo creato nel passo precedente.
    Modello per lo screening dei file
    FIG 7 - Modello per lo screening dei file

  • Cliccare sulla scheda Registro eventi e selezionare la casella Invio avviso al registro eventi quindi cliccare su OK.
    Modello per lo screening dei file, Registro eventi
    FIG 8 - Modello per lo screening dei file, Registro eventi

  • Adesso dobbiamo andare a specificare su quale cartella applicare il template. Cliccare su Screening dei file quindi su Crea screening dei file.
    Crea screening dei file
    FIG 9 - Crea screening dei file

  • In Percorso screening dei file digitare, o selezionare tramite il tasto Sfoglia, la cartella su cui si intende effettuare lo screening (nel nostro caso C:\Dati Personali) e in Deriva le proprietà dal modello per lo screening dei file seguente selezionare il template creato precedentemente (Template Personale). Cliccare su Crea.
    Crea screening dei file, proprietà
    FIG 10 - Crea screening dei file, proprietà

    Screening dei file attivi
    FIG 11 - Screening dei file attivi


Sul server abbiamo terminato, adesso non resta che testare il corretto funzionamento dello screening da una macchina del dominio.
Tentando di salvare sulla cartella specificata un tipo di file oggetto dello screening, gli utenti visualizzeranno il messaggio mostrato in FIG 12.
Accesso negato alla cartella
FIG 12 - Accesso negato alla cartella



Dal registro eventi sul server, in Registri di Windows -> Applicazioni, è possibile visualizzare la registrazione dell'evento.
Visualizzatore eventi, screening dei file
FIG 13 - Visualizzatore eventi, screening dei file