Ransomware Ziggy: Decriptare i file

Come visto per tanti ransomware, anche Ziggy blocca l'accesso ai file cifrando il loro contenuto (tramite l'utilizzo degli algoritmi RSA-4096 e AES-256 GCM) e richiedendo un riscatto. In tutte le cartelle contenenti file cifrati viene creato il file "## HOW TO DECRYPT ##.exe", un file eseguibile che visualizza le istruzioni per il pagamento del riscatto. I file cifrati vengono rinominati aggiungendo al nome l'ID della vittima, l'indirizzo email lilmoon1@criptext.com e, infine, l'estensione .ziggy.

Ad esempio il file

foto.jpg

verrà rinominato dal ransomware in qualcosa del tipo

foto.jpg.id=[A235D928].email=[lilmoon1@criptext.com].ziggy

Nel messaggio di riscatto la vittima viene invitata a contattare un indirizzo email indicando il proprio ID per procedere al pagamento del riscatto in Bitcoin. Una volta effettuato il pagamento verranno inviati un tool e relative istruzioni per procedere al recupero dei propri dati. Nel messaggio viene anche indicato che il prezzo da pagare dipende da quanto celermente le vittime contatteranno gli sviluppatori del ransomware facendo intendere che più tempo passa dall'infezione più alto sarà il riscatto. Prima di effettuare il pagamento, alla vittima viene data la possibilità di inviare 5 file che verranno decrittati gratuitamente (una sorta di prova di affidabilità). 

In questi casi dovrebbe essere superfluo ricordare che, avendo a che fare con criminali, il pagamento del riscatto non garantisce il recupero dei dati.

FIG 1 - Ziggy, messaggio del riscatto

Da qualche giorno i server di Ziggy sono stati chiusi e gli sviluppatori, forse anche per le recenti operazioni di polizia contro i ransomware Emotet e Netwalker, hanno deciso di rendere pubbliche le chiavi di decrittazione. Gli sviluppatori del ransomware hanno rilasciato un file SQL contenente, per ciascuna vittima, 3 chiavi da utilizzare per decrittare i dati ed è stato rilasciato anche il relativo tool. 

FIG 2 - File SQL con chiavi di decrittazione

FIG 3 - Decryptor fornito dagli sviluppatori di Ziggy

Il ransomware procedeva a criptare i dati degli utenti con chiavi di cifratura offline nel caso in cui le vittime non fossero connesse ad Internet o nel caso in cui i server C & C non fossero raggiungibili. Gli sviluppatori hanno anche condiviso il codice sorgente del decryptor contenente le chiavi di decrittazione offline.

Grazie alle informazioni e alle chiavi rilasciate, l'esperto di ransomware Michael Gillespie ha creato il tool Emsisoft Decryptor for Ziggy che permette alle vittime di recuperare i propri dati:

• Il tool può essere scaricato da https://www.emsisoft.com/ransomware-decryption-tools/ziggy
• Una volta avviato, per proseguire, è necessario accettare i termini di licenza cliccando sul pulsante Yes.
  

  

  FIG 4 - Decryptor for Ziggy, Licenza

  
  
• Cliccare sull'unico pulsante Browse attivo, selezionare un file crittografato da recuperare quindi cliccare su Start per avviare l'analisi.
  

  

  FIG 5 - Decryptor for Ziggy

  
  
• Al termine dell'analisi verrà visualizzata una finestra di dialogo informativa relativa alle chiavi di decrittazione trovate. Per proseguire cliccare su OK.
  

  

  FIG 6 - Decryptor for Ziggy, Decryption Key found

  
  
• La scansione e il recupero dei file cifrati viene, di default, effettuata su tutti i dischi e drive removibili connessi al sistema. Tramite il pulsante Add folder è possibile aggiungere nuovi percorsi o rimuoverli utilizzando i pulsanti Remove object(s), per eliminare quelli selezionati, o Clear object list per azzerare l'elenco. All'interno della scheda Options è possibile indicare se mantenere o eliminare i file cifrati una volta decrittati. Dopo aver effettuato le personalizzazioni desiderate è possibile cliccare su Decrypt per avviare il processo.
  
  

  

  FIG 7 - Decryptor for Ziggy, Decrypt

  
  
• Nella scheda Results sarà possibile visualizzare i dettagli sull'operazione di recupero in corso.
  

Ransomware Fonix: Decriptare i file

Scoperto dal ricercatore di sicurezza Michael Gillespie  il ransomware Fonix, anche conosciuto come FonixCrypter e XINOF, è stato rilasciato a giugno 2020 ma solo a partire dal mese di novembre dello stesso anno le vittime sono aumentate in maniera significativa. Fonix, come gran parte dei ransomware, provvede a cifrare i file della vittima e a visualizzare una richiesta di riscatto.

I file cifrati vengono rinominati: al nome del file viene aggiunto l'indirizzo email fonix@tuta.io, l'ID della vittima e l'estensione .Fonix. 

Ad esempio un file 

foto.jpg

viene rinominato dal ransomware in

foto.jpg.EMAIL=[fonix@tuta.io]ID=[FE867B00].Fonix

Le istruzioni su come pagare il riscatto risiedono all'interno del file "# How To Decrypt Files #.hta" presente in ogni cartella contenente i dati cifrati.

Nel messaggio di riscatto viene indicato che il ransomware cripta i file utilizzando l'algoritmo di crittografia Salsa20 e la chiave RSA 4098. Per ottenere una chiave di decrittazione, le vittime sono invitate a pagare una certa somma tramite Bitcoin. Per ottenere istruzioni su come acquistare la chiave, alla vittima viene richiesto di inviare un'e-mail a fonix@tuta.io entro 48 ore dall'attacco di Fonix, poiché dopo questo periodo il costo raddoppierà. Prima di effettuare il pagamento, viene offerta la possibilità di inviare un file criptato gratuitamente per la decrittazione. Il messaggio avvisa  di non eliminare o rinominare i file crittografati, né di provare a decifrarli con altri software, perché questo danneggerà permanentemente i dati. 

Ovviamente, trattandosi di criminali, non è garantito che pagando il riscatto si riceva la chiave di decrittazione.

FIG 1 - Ransomware Fonix, richiesta di riscatto

Decriptare i file

A fine gennaio 2021 uno degli admin di Fonix ha comunicato la chiusura dei server utilizzati dal ransomware e ha rilasciato una chiave pubblica insieme ad un tool per la decrittazione dei file. Il tool non è di semplice utilizzo per i meno esperti. Fortunatamente  il team Kaspersky ha aggiornato il suo RakhniDecryptor e le vittime possono facilmente ripristinare i loro dati utilizzando questo strumento.

FIG 2 - Annuncio Fonix Admin

I passaggi da seguire per il recupero dei dati sono semplici:

• Il tool può essere scaricato da https://noransom.kaspersky.com/.
  

  

  FIG 3 - Download Rakhni Decryptor

  
  
• Una volta scaricato il file .zip, estrarre il suo contenuto ed eseguire il file RakhniDecryptor.exe.
• Per proseguire è necessario accettare la licenza di utilizzo cliccando sul pulsante Accept.
  

  

  FIG 4 - Licenza Rakhni Decryptor

  
  
• La scansione viene, di default, effettuata su tutti i dischi e drive removibili connessi al sistema. Cliccando su link Change parameters sarà possibile specificare ulteriori percorsi e indicare se eliminare i file cifrati una volta decrittati (FIG 6).
  

  

  FIG 5 - RakhniDecryptor

  
  

  

  FIG 6 - RakhniDecryptor, Change parameters

  
  
• Nella schermata principale cliccando su Start scan verrà eseguita la scansione dei drive e la decrittazione dei file. Non resta che attendere la fine dell'operazione e la visualizzazione del report.

Come ricercare file di grandi dimensioni tramite il Prompt dei comandi

Tramite il prompt dei comandi è possibile ricercare i file di grandi dimensioni utilizzando il comando forfiles.

Digitando 

forfiles /?

seguito da invio verrà mostrato l'help del comando con informazioni sulla sintassi e i vari parametri come indicato di seguito.

FORFILES [/P nomepercorso] [/M mascheraricerca] [/S]

         [/C comando] [/D [+ | -] {dd/MM/yyyy | dd}]

Descrizione:

    Seleziona un file, o un gruppo di file, e esegue un

    comando sul file selezionato. Utile per i processi batch.

Elenco parametri:

    /P    nomepercorso  Indica il percorso da cui avviare la ricerca.

                        La cartella predefinita è la directory di lavoro

                        corrente.

    /M    masch.ricerca Esegue la ricerca di file in base a una

                        maschera di ricerca.

                        La maschera di ricerca predefinita è '*' .

    /S                  Indica la ricerca ricorsiva nelle

                        sottodirectory. Come "DIR /S".

    /C    comando       Indica il comando da eseguire per ciascun file.

                        Le stringhe del comando devono essere

                        racchiuse tra virgolette doppie.

                        Il comando predefinito è "cmd /c echo @file".

                        È possibile utilizzare le seguenti variabili nella

                        stringa di comando:

                        @file    - Restituisce il nome del file.

                        @fname   - Restituisce il nome file senza

                                   estensione.

                        @ext     - Restituisce solo l'estensione del

                                   file.

                        @path    - Restituisce il percorso completo del file.

                        @relpath - Restituisce il percorso relativo del

                                   file.

                        @isdir   - Restituisce "TRUE" se il tipo di file è

                                   una directory e "FALSE" per i file.

                        @fsize   - Restituisce le dimensioni del file in

                                   byte.

                        @fdate   - Restituisce la data dell'ultima modifica del

                                   file.

                        @ftime   - Restituisce l'ora dell'ultima modifica del

                                   file.

                        Per includere caratteri speciali nella riga

                        di comando, utilizzare il codice esadecimale

                        per il carattere nel formato 0xHH (ad esempio,

                        0x09 per TAB). I comandi interni CMD.exe

                        devono essere preceduti da "cmd /c".

    /D    data          Seleziona i file con la data dell'ultima

                        modifica successiva

                        o uguale a (+), o precedente o uguale alla

                        (-), data specificata utilizzando il

                        formato "dd/MM/yyyy", o seleziona i file con

                        la data dell'ultima modifica successiva

                        o uguale alla (+) data corrente più

                        "gg" giorni, o precedente o uguale alla

                        (-) data corrente meno "gg" giorni. Un numero

                        "gg" di giorni valido può essere qualsiasi numero

                        compreso tra 0 e 32768.

                        "+" viene considerato il segno predefinito se

                        non altrimenti specificato.

    /?                  Visualizza questo messaggio della Guida.

Esempi:

    FORFILES /?

    FORFILES

    FORFILES /P C:\WINDOWS /S /M DNS*.*

    FORFILES /S /M *.txt /C "cmd /c type @file | more"

    FORFILES /P C:\ /S /M *.bat

    FORFILES /D -30 /M *.exe

             /C "cmd /c echo @path 0x09 è stato modificato 30 giorni fa"

    FORFILES /D 01/01/2001

             /C "cmd /c echo @fname è stato modificato dopo il 1 gennaio 2001"

    FORFILES /D +4/2/2021 /C "cmd /c echo @fname è stato modificato oggi"

    FORFILES /M *.exe /D +1

    FORFILES /S /M *.doc /C "cmd /c echo @fsize"

    FORFILES /M *.txt /C "cmd /c if @isdir==FALSE notepad.exe @file"

Per ricercare file che superano la dimensione di 100MB (104857600 byte) in tutte le sottocartelle si può utilizzare il comando

forfiles /S /M * /C "cmd /c if @fsize GEQ 1048576 echo @path"

Se si intende visualizzare, oltre al path, anche la dimensione effettiva del file 

forfiles /S /M * /C "cmd /c if @fsize GEQ 1048576 echo @path - @fsize "

FIG 1 - Prompt dei comandi - ForFiles

Windows 10: Unità SATA interna rilevata come supporto rimovibile

A seconda di come vengono contrassegnate le porte SATA sulla scheda madre da parte del BIOS, può capitare che i driver di Windows rilevino i dispositivi SATA interni (HDD o SDD) come unità rimovibili. Si tratta di una situazione che può essere una causa potenziale di danni o perdita di dati.

Per risolvere il problema:

• Aprire un prompt dei comandi con privilegi di amministratore.
• Digitare il seguente comando seguito da invio per avviare Gestione dispositivi
  devmgmt.msc
• Espandere la voce Unità disco, individuare il disco su cui si intende agire e visualizzare le proprietà (doppio click con il tasto sinistro del mouse oppure cliccarci su con il tasto destro e selezionare Proprietà).
  

  

  FIG 1 - Gestione dispositivi

  
  
• Nella finestra delle proprietà prendere nota del Bus number (in FIG 2 il Bus Number è 0).
  

  

  FIG 2 - Bus Number

• Ritornare al prompt dei comandi aperto in precedenza e digitare il seguente comando seguito da invio 
  reg.exe add "HKLM\SYSTEM\CurrentControlSet\Services\storahci\Parameters\Device" /f /v TreatAsInternalPort /t REG_MULTI_SZ /d x
  dove al posto di x va indicato il bus number annotato precedentemente

PowerShell: Rimuovere un gruppo Active Directory

Microsoft Active Directory rappresenta il nodo centrale per l'amministrazione, l'autorizzazione e l'autenticazione. Per semplificare la gestione degli accessi e migliorare la sicurezza, nelle aziende di medie e grandi dimensioni, spesso vengono utilizzati i gruppi di sicurezza di Active Directory che possono contenere account utente, account computer e altri gruppi. Anche i gruppi di distribuzione vengono utilizzati altrettanto spesso. 

Per maggiori informazioni sui gruppi rimando all'articolo Windows Server 2019: Creazione gruppi in Active Directory in cui è stato anche illustrato il cmdlet New-ADGroup.

Entrambi i tipi di gruppi possono essere gestisti tramite PowerShell utilizzando il modulo Active Directory che fu introdotto a partire da Windows Server 2008 R2 ed è abilitato di default in Windows Server 2012 e successivi. Per visualizzare l'elenco completo dei cmdlet contenuti all'interno del modulo Active Directory è possibile eseguire il comando

Get-Command -Module ActiveDirectory

L'elenco comprende 147 cmdlet ma solo 11 sono relativi ai gruppi di Active Directory:

Add-ADGroupMember

Add-ADPrincipalGroupMembership

Get-ADAccountAuthorizationGroup

Get-ADGroup

Get-ADGroupMember

Get-ADPrincipalGroupMembership

New-ADGroup

Remove-ADGroup

Remove-ADGroupMember

Remove-ADPrincipalGroupMembership

Set-ADGroup

FIG 1 - PowerShell, cmdlet modulo Active Directory

In questo articolo vedremo come rimuovere un gruppo Active Directory utilizzando il cmdlet Remove-ADGroup. Per visualizzare la sua sintassi eseguire il comando

Get-Command Remove-ADGroup –Syntax

Sintassi

Remove-ADGroup

      [-WhatIf]

      [-Confirm]

      [-AuthType <ADAuthType>]

      [-Credential <PSCredential>]

      [-Identity] <ADGroup>

      [-Partition <String>]

      [-Server <String>]

      [<CommonParameters>]

  

Parametri

-AuthType 

Specifica il metodo di autenticazione. I valori accettati dal parametro sono:

• Negotiate oppure 0 (default)
• Basic oppure 1

-Confirm

Se specificato, tale parametro mostra la richiesta di conferma prima di eseguire il cmdlet.

-Credential

Specifica le credenziali dell'account utente con cui eseguire il comando. Se omesso viene considerato l'utente corrente che sta eseguendo il comando. Al parametro può essere passato il nome dell'account, come ad es. "utente01" o "Dominio\utente01" oppure può essere passato un'oggetto PSCredential generato dal cmdlet Get-Credential. Se viene specificato un'account utente verrà richiesto di inserire la password all'esecuzione del comando.

-Identity

Tale parametro specifica l'oggetto gruppo Active Directory su cui si desidera intervenire. Al parametro può essere passato un qualsiasi valore che identifica il gruppo in maniera univoca come:

Distinguished name

GUID (objectGUID)

Security identifier (objectSid)

Security Account Manager account name (sAMAccountName) 

-Partition

A tale parametro va passato il Distinguished Name (DN) di una partizione di Active Directory. Il cmdlet utilizzerà tale partizione per ricercare l'oggetto specificato dal parametro Identity.

-Server

Permette di specificare l'istanza di Active Directory Domain Services a cui connettersi per la rimozione del gruppo.

-WhatIf

Mostra cosa accadrebbe se venisse eseguito il cmdlet. Il cmdlet non viene eseguito.

Rimuovere un gruppo Active Directory

Per rimuovere un gruppo Active Directory basta semplicemente eseguire il comando

Remove-ADGroup -Identity Gruppo1

dove al posto di Gruppo1 va specificato il nome del gruppo

Se vogliamo cancellare tutti i gruppi Active Directory i cui nomi iniziano per Gruppo possiamo eseguire

Get-ADGroup -Filter 'Name -like "Gruppo*"' | Remove-ADGroup

FIG 2 - PowerShell, Remove-ADGroup

Windows 10: Gestione attività, impostare la scheda predefinita

Gestione attività (nelle vecchie versioni di Windows conosciuto come Task Manager) è uno strumento integrato nei sistemi operativi Windows. Inizialmente utilizzato prevalentemente per terminare applicazioni bloccate o in stallo, nel corso degli anni ha assunto un ruolo sempre più importante ed è stato oggetto di diversi aggiornamenti volti ad integrare nuove funzionalità. Nelle nuove versioni Gestione attività può essere utilizzato per indagare sul funzionamento del sistema, controllare l'uso delle risorse hardware da parte delle applicazioni, verificare le applicazioni eseguite all'avvio e i vari servizi/processi in esecuzione.

Nelle ultime versioni di Gestione attività (da Windows 10 versione 1903) è possibile impostare la scheda da visualizzare in primo piano all'apertura del tool. Anche se può sembrare un'operazione superflua, può far risparmiare molto tempo a chi utilizza di frequente tale strumento:

• Avviare Gestione attività (si può utilizzare la combinazione di tasti CTRL+SHIFT+ESC) e dal menu Opzioni selezionare Imposta pannello predefinito.
• Selezionare la scheda che si intende impostare come default.
  

  

  FIG 1 - Gestione attività

  
  

Windows Server 2019: File Server. Screening dei file

Sui file server è buona norma effettuare lo screening dei file per inibire la creazione o il salvataggio di alcuni tipi di file. Ad esempio possiamo fare in modo che gli utenti, all'interno della loro cartella sul server, non possano salvare audio, video o file eseguibili. Per raggiungere tale scopo è possibile creare un modello (template), da applicare alle cartelle, che impedisca la creazione o copia di determinati tipi di file. Vediamo passo passo come fare:

• Da Server Manager cliccare su Strumenti quindi su Gestione risorse file server.
  

  

  FIG 1 - Sever Manager, Strumenti

  
  
• Cliccare su Gestione screening dei file quindi su Gruppi di file. Come visibile in FIG 2 alcuni gruppi sono già presenti. Possiamo utilizzare uno o più gruppi esistenti o crearne uno nuovo. In questo articolo creeremo il nostro gruppo.
  

  

  FIG 2 - Gestione screening dei file

  
  
• Cliccare su Crea gruppo di file.
  

  

  FIG 3 - Screening dei file, Crea Gruppo di file

  
  
• Nella casella Nome gruppo di file, digitare il nome che si intende assegnare al gruppo (ad es. Gruppo Personale).
  

  

  FIG 4 - Crea proprietà gruppo di file, Nome gruppo di file

  
  
• In File da includere digitare il tipo di file (ad es. *.exe) e cliccare su Aggiungi. Ripetere questo passaggio per gli altri tipo di file che si intende gestire (come *.bat, *.com, *.msi, *.mp3, *.mp4, *.avi, *.mkv, *.flv, *.wav). Infine cliccare su OK per creare il gruppo.
  

  

  FIG 5 - Crea proprietà gruppo di file, File da includere

  
  
• Il passo successivo consiste nella creazione del template. Cliccare su Modelli per lo screening dei file quindi su Crea modello per lo screening dei file.
  

  

  FIG 6 - Modelli per lo screening dei file

  
  
• Nella caselle Nome modello digitare il nome che si intende assegnare (ad es. Template Personale). Selezionando l'opzione Screening attivo gli utenti non potranno salvare i tipi di file inibiti. Attivando l'opzione Screening passivo, invece, gli utenti potranno salvare i file ma l'amministratore viene avvisato che l'utente ha salvato un tipo di file specificato nel gruppo. Lasciare attiva l'opzione Screening attivo e in Selezionare i gruppi di file da bloccare, selezionare il gruppo creato nel passo precedente.
  

  

  FIG 7 - Modello per lo screening dei file

  
  
• Cliccare sulla scheda Registro eventi e selezionare la casella Invio avviso al registro eventi quindi cliccare su OK.
  

  

  FIG 8 - Modello per lo screening dei file, Registro eventi

  
  
• Adesso dobbiamo andare a specificare su quale cartella applicare il template. Cliccare su Screening dei file quindi su Crea screening dei file.
  

  

  FIG 9 - Crea screening dei file

  
  
• In Percorso screening dei file digitare, o selezionare tramite il tasto Sfoglia, la cartella su cui si intende effettuare lo screening (nel nostro caso C:\Dati Personali) e in Deriva le proprietà dal modello per lo screening dei file seguente selezionare il template creato precedentemente (Template Personale). Cliccare su Crea.
  

  

  FIG 10 - Crea screening dei file, proprietà

  
  

  

  FIG 11 - Screening dei file attivi

  
  

Sul server abbiamo terminato, adesso non resta che testare il corretto funzionamento dello screening da una macchina del dominio.

Tentando di salvare sulla cartella specificata un tipo di file oggetto dello screening, gli utenti visualizzeranno il messaggio mostrato in FIG 12.

FIG 12 - Accesso negato alla cartella

Dal registro eventi sul server, in Registri di Windows -> Applicazioni, è possibile visualizzare la registrazione dell'evento.

FIG 13 - Visualizzatore eventi, screening dei file