giovedì 19 maggio 2016

Ransomware TeslaCrypt: Decriptare tutte le versioni

Gli sviluppatori di TeslaCrypt hanno provveduto alla chiusura dei server e, dietro richiesta dei ricercatori ESET, hanno messo a disposizione la master key per recuperare i dati cifrati da tutte le versioni del ransomware (incluse la 3.0 e 4.x).

Gli sviluppatori del ransomware hanno rilasciato la master key di TeslaCrypt su rete Tor all'indirizzo wbozgklno6x2vfrk.onion

La master key è la seguente
440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE

A chi ha conservato i dati cifrati dal ransomware non resta che scaricare la versione aggiornata di TeslaDecoder  (sviluppato da BloodDolly di BleepingComputer) e procedere come segue.


  • Scaricata l'ultima versione di TeslaDecoder, scompattarla e avviare il file TeslaDecoder.exe
  • FIG 1 - TeslaDecoder
  • Cliccare sul pulsante Set Key. Nella casella Key (hex): incolliamo la master key e in Extension selezioniamo l'estensione dei nostri file cifrati (per i file cifrati con TeslaCrypt 4.x a cui non è stata modificata l'estensione selezionare <as original>), quindi cliccare Set Key


  • Si ritorna alla schermata vista in FIG 1. Non resta che cliccare su Decrypt Folder e selezionare la cartella (o l'intero disco) contenente i nostri file cifrati

lunedì 16 maggio 2016

Windows 10: Abilitare la modifica del suono di logon a Windows

Nella nuova versione di Windows non è possibile modificare il suono eseguito al logon dell'utente tramite il Pannello di Controllo. Per riabilitare questa opzione è necessario agire tramite il registro di sistema:
  • Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
  • Posizionarsi su HKEY_CURRENT_USER\AppEvents\EventLabels\WindowsLogon
  • Impostare a 0 il valore DWORD ExcludeFromCPL
    ExcludeFromCPL
    FIG 1 - ExcludeFromCPL
Una volta eseguita la modifica, accedendo al Pannello di Controllo -> Hardware e suoni e selezionando l'opzione Cambia Segnali acustici emessi dal sistema nella sezione Audio, noteremo l'opzione Accesso a Windows (FIG 2) che ci consente di modificare il suono emesso al logon dell'utente.
Audio, Accesso a Windows
FIG 2 - Audio, Accesso a Windows
Per scaricare i file .reg che abilitano/disabilitano la modifica del suono al logon, cliccare su DOWNLOAD



giovedì 12 maggio 2016

Windows Quick Tip: Impedire il download automatico dei driver da parte di Windows Update

Oltre all'aggiornamento del sistema operativo e di altre applicazioni Microsoft, Windows Update provvede anche al download e all'installazione dei driver aggiornati delle periferiche. Tale comportamento è generalmente ben accetto ma nel caso in cui Windows non riconosca correttamente una periferica potrebbe installare driver errati e rendere il sistema instabile. É possibile impedire a Windows Update di eseguire il download dei driver delle periferiche.

In Windows 7, Windows 8 e 8.1 si può procedere nel seguente modo:
  • Accedere al Pannello di controllo e accedere alla sezione Sistema e sicurezza/Sistema (oppure premere la combinazione di tasti WIN+Pausa);
  • Cliccare sul collegamento Impostazioni di sistema avanzate;
    Impostazioni di sistema avanzate
    FIG 1 - Impostazioni di sistema avanzate
  • Selezionare la scheda Hardware, quindi cliccare su Impostazioni installazione dispositivo;

    Proprietà di sistema - Hardware
    FIG 2 - Proprietà di sistema - Hardware
  • Nella schermata successiva selezionare l'opzione Chiedi ogni volta per far apparire altre opzioni. Selezionare Non installare mai il driver da Windows Update quindi salvare le modifiche cliccando sull'apposito tasto.

    Impostazioni installazione dispositivo
    FIG 3 - Impostazioni installazione dispositivo


In Windows 10 le schermate sono state modificare ma possiamo eseguire l'operazione agendo tramite il registro di sistema.
  • Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
  • Posizionarsi su HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DriverSearching
  • Impostare a 0 il valore DWORD SearchOrderConfig
SearchOrderConfig
FIG 4 - SearchOrderConfig

Dal seguente link è possibile scaricare i file .reg per abilitare/disabilitare il download automatico dei driver da parte di Windows Update
DOWNLOAD

mercoledì 11 maggio 2016

Windows Quick Tip: Visualizzare lo stato di BitLocker tramite prompt dei comandi

BitLocker è una funzionalità introdotta da Microsoft nei suoi sistemi operativi a partire dalle versioni Enterprise ed Ultimate di Windows Vista. Tale funzionalità consente di proteggere i dati cifrandoli tramite l'algoritmo AES con chiave a 128bit. BitLocker consente di cifrare interi drive, compresi drive esterni e quello contenente il sistema operativo. Per verificare lo stato dei dischi cifrati con BitLocker è possibile utilizzare il comando manage-bde -status
  • Avviare il prompt dei comandi come amministratore
  • Digitare il comando manage-bde -status seguito da invio. L'output del comando sarà simile a quello visibile in FIG 1 e FIG 2 con le informazioni relative ai dischi e alla crittografia.

Manage-bde -status
FIG 1 - Manage-bde -status
Manage-bde -status disco cifrato
FIG 2 - Manage-bde -status disco cifrato

Per visualizzare le informazioni di uno specifico disco va indicato all'interno del comando. Ad es. per conoscere lo stato del disco c: va eseguito il comando manage-bde -status c:

mercoledì 27 aprile 2016

Ransomware CryptXXX

CryptXXX è un nuovo ransomware che si sta diffondendo: le prime infezioni risalgono al 31 Marzo 2016. Questo nuovo ransomware è stato analizzato approfonditamente da Kafeine e dalla sua analisi si evincono molte cose interessanti. L'infezione avviene tramite Angler Exploit Kit (EK). Una volta infettato il sistema il ransomware non inizia subito la sua opera ma resta per un po' in attesa in modo da rendere difficile risalire subito alla fonte dell'infezione. Trascorso il tempo di delay inizia a crittografare i file aggiungendo l'estensione .crypt.
Il ransomware si maschera dietro un file .dll che viene creato all'interno di una cartella contenente caratteri alfanumerici in %USERPROFILE%\AppData\Local\Temp\.
ad es.
%USERPROFILE%\AppData\Local\Temp\{D3C31E62-539D-4056-BF01-BF7CB94E0254}\api-ms-win-system-softpub-l1-1-0.dll

Il nome del file .dll e quello della cartella che lo contiene variano.

Terminata la crittografia dei dati, come già visto per altri ransomware, CryptXXX genera 3 file (in formati diversi) contenenti le informazioni su come pagare il riscatto:
de_crypt_readme.bmp
de_crypt_readme.txt
de_crypt_readme.html

Il messaggio viene visualizzato a video e viene richiesto un riscatto di circa 500$ (che raddoppia nel caso in cui non venga pagato entro la scadenza visualizzata).


Recuperare i dati .crypt

Per decriptare i dati cifrati da CryptXXX è possibile utilizzare il tool RannohDecryptor messo a disposizione da Kaspersky e scaricabile da QUI .
Il tool consente di determinare la chiave per decriptare i dati a patto di disporre della versione cifrata e non cifrata dello stesso file.  Questo potrebbe rappresentare un problema ma ci sono alcuni file, come le immagini di esempio di Windows, che sono uguali su tutti i PC. In questo caso basta copiare il file non cifrato da un'altro PC.

Una volta scaricato e avviato il tool, cliccare sul pulsante Start scan e indicare il file cifrato. Il tool tenterà di estrarre la chiave dal file e, non riuscendoci, chiede all'utente di specificare la versione cifrata e non cifrata dello stesso file. Confrontando i 2 file il tool riuscirà ad estrarre la chiave e si potrà procedere a decriptare i restanti file.


Kaspersky RannohDecryptor
FIG 1 - Kaspersky RannohDecryptor

Aggiornamento 13.05.2016:

Da alcuni giorni circola una nuova versione del ransomware CryptXXX su cui il tool di Kaspersky è inefficace. Al momento non c'è la possibilità di decriptare i dati cifrati dalla nuova variante del ransomware.


Aggiornamento 13.05.2016 (2):

Proprio alcune ore fa Kaspersky (come segnalato e testato anche dall'utente Angelo nei commenti) ha rilasciato la nuova versione di RannoDecryptor che permette di decriptare i dati cifrati dalla nuova variante di CryptXXX. Il download può essere effettuato da http://support.kaspersky.com/viruses/utility


Aggiornamento 17.07.2016:

Ora è possibile decriptare i file che hanno estensione  .Crypz e .Cryp1. Nuovo articolo QUI

mercoledì 20 aprile 2016

Windows Quick Tip: Programmare l'arresto del sistema dopo un timeout specificato

A chi non è mai capitato di restare in attesa davanti al PC che venisse portata a termine un'operazione (come la copia o il download di file) per poi poter spegnere il sistema?

In Windows è possibile programmare l'arresto del sistema tramite l'utilità di pianificazione oppure lanciando, dal prompt dei comandi, il comando
shutdown -s -f -t 0
dove al posto di 0 va indicato il timeout, espresso in secondi, prima dell'arresto del sistema. L'intervallo accettato è 0-315360000.

Per semplicità è possibile creare un file .cmd che consente di specificare, ogni volta che viene eseguito, il timeout desiderato.
Dal seguente collegamento è possibile scaricare il file .cmd
DOWNLOAD

Il file contiene il seguenti comandi

@echo off
set /p minuti="Indicare tra quanti minuti arrestare il sistema:"
set /a secondi=%minuti%*60
shutdown -s -f -t %secondi%
exit

Come è possibile notare dal codice sopra riportato, una volta avviato (come un comune file eseguibile) viene chiesto di indicare i minuti da attendere prima che venga eseguito l'arresto del sistema. Il valore dei minuti specificato viene convertito in secondi è passato al comando shutdown.


Shutdown
FIG 1 - Shutdown

martedì 19 aprile 2016

Ransomware Petya decriptare il disco e recuperare i dati

Il ransomware Petya ha un comportamento molto diverso rispetto ai comuni ransomware visti fin'ora: Petya non cifra i file ma porzioni del disco fisso impedendo l'accesso a qualsiasi file in esso contenuto. Anche in questo caso per lo sblocco del sistema viene richiesto un riscatto.

Il ransomware viene diffuso prevalentemente tramite email all'interno della quale è presente in allegato un link che provvede a scaricare e installare Petya sul sistema. Una volta installato, il ransomware provvede a sostituire il Master Boot Record (MBR) del disco fisso con un proprio loader quindi procede al riavvio di Windows dopo aver visualizzato una schermata BSOD (Blue Screen of Death). All'avvio viene eseguito il loader di Petya che visualizza una schermata del tutto analoga al CHKDSK di Microsoft al fine di rassicurare l'utente. In questa fase il ransomware procede a cifrare la Master File Table (MFT) rendendo i file del disco inaccessibili.
Petya CHKDSK
FIG 1 - Petya CHKDSK

Terminato il finto CHKDSK ci si trova di fronte alla schermata di blocco visualizzata in FIG 2 (verrà visualizzata ad ogni avvio).
Petya schermata di blocco
FIG 2 - Petya schermata di blocco

Premendo un qualsiasi tasto viene visualizzata la schermata con le istruzioni su come pagare il riscatto utilizzabile anche per l'inserimento della chiave di sblocco.
Petya istruzioni per il riscatto
FIG 3 - Petya istruzioni per il riscatto


Decriptare il proprio Hard Disk

L'utente di Twitter leostone  ha creato una pagina Web che permette di generare la chiave per decriptare il disco, prima, però, è necessario estrarre alcuni dati dal disco: 512 byte di verifica dal settore 55 (0x37) offset 0 (0x0) e 8 byte dal settore 54 (0x36) offset 33(0x21) codificati in Base 64. Vediamo in dettaglio come procedere:
  • L'hard disk va smontato e collegato ad un'altro PC (tramite USB oppure montato all'interno della macchina);
  • Scaricare ed eseguire il tool Petya Sector Extractor  creato da Fabian Wosar;
  • Il tool esegue la scansione del sistema per individuare, tra gli hard disk connessi, il disco infettato da Petya. Una volta individuato il disco infetto viene automaticamente selezionato.

    Petya Sector Extractor
    FIG 4 - Petya Sector Extractor
  • Dal proprio browser aprire la pagina https://petya-pay-no-ransom.herokuapp.com/ (nel caso in cui la pagina non fosse raggiungibile è possibile provare ad accedere al mirror https://petya-pay-no-ransom-mirror1.herokuapp.com/). All'interno di tale pagina ci sono due caselle di testo denominate Base64 encoded 512 bytes verification data e Base64 encoded 8 bytes nonce nella quali andranno inseriti i dati estratti dal tool.

    Petya estrazione della chiave
    FIG 5 - Petya estrazione della chiave
  • Dal tool Petya Sector Extractor cliccare sul pulsante Copy Sector per copiare i dati estratti dal disco all'interno della clipboard quindi, sulla pagina web indicata nel passo precedente, cliccare all'interno della casella di testo denominata Base64 encoded 512 bytes verification data e incollare il testo tramite la combinazione di tasti CTRL+V
  • Ritornare al tool Petya Sector Extractor e questa volta cliccare sul pulsante Copy Nonce. Sulla pagina web cliccare all'interno della casella denominata Base64 encoded 8 bytes nonce e incollare i dati con CTRL+V
  • Sempre sulla pagina Web cliccare sul pulsante Submit per procedere all'estrazione della chiave. Prendere nota della chiave che viene visualizzata.
  • Rimontare l'hard disk sul PC originale e avviare il sistema. Alla schermata di blocco di Petya (quella che visualizza il disegno del teschio) premere un tasto e, nella schermata successiva (FIG 3), inserire la chiave che è stata calcolata. A questo punto il ransomware inizia a decriptare il disco
  • Quando l'operazione è terminata verrà chiesto di riavviare e il sistema si avvierà normalmente.