GUIDA Come recuperare file persi dopo un attacco Ransomware

Ibernato

Utente Èlite
4,328
2,047
OS
Windows 10 Pro / Ubuntu 22.04
N. B. grazie a @Moffetta88 per il suggerimento:
se hai usato un qualsiasi tool di pulizia virus/ chiavi di registro / programmi magici / ccleaner e se sono passate più di 48h, non perderci tempo.
Questa guida parte con il presupposto che io prendo il virus e non faccio niente prima di testare questa guida.


Ciao a tutti,
come argomento di tesi sto portando l'analisi dei tool di recupero file presenti in rete per vedere se sono in grado di recuperare i file cifrati da un attacco Ramsonware. In rete non ho trovato nulla a riguardo o roba simile (se avete qualche materiale condividitelo). Inoltre, se siete interessati anche voi ad un argomento tesi o esame di stato, potete scrivermi in pm o sotto al post e possiamo confrontarci.

Sicuramente vi starete chiedendo: Come è possibile recuperare un file criptato se non abbiamo la chiave per decifrarlo?
Leggete la guida fino in fondo e capirete che non c'è bisogno della chiave se siamo fortunati :)

Prima di procedere con la guida è bene dare la definizione di cosa è un Ramsonware:
Un Ramsomware è un malware che, una volta eseguito sul computer, vi cripta tutti i file e poi vi sarà richiesto un riscatto (in bitcoin o simili) da pagare per poter riavere indietro i file. Inutile dirvi che non ha senso pagare perchè le transazioni con le monete virtuali sono anonime e quindi il malvivente non è in grado di sapere chi ha effettuato il pagamento.
NON PAGATE
L'attacco, di solito, avviene tramite allegati e-mail, o attraverso il browser, in caso di apertura di un sito web infettato da questo tipo di malware. L'accesso al PC può inoltre avvenire attraverso la rete.

Sicuramente vi ricorderete dei danni causati da WannaCry nel maggio 2017.

Se siete qui 2 sono i motivi:
1) siete curiosi
2) vi siete beccati il Ramsonware e volete recuperare i file.

I vari sistemi operativi (OS), utilizzano i propri file system, ai fini di permettere l'accesso, la memorizzazione e la modifica dei dati.
Allo stesso modo, i supporti di memorizzazione, permettono le suddette operazioni, in accordo al file system utilizzato. Quindi, sfruttando alcune caratteristiche della struttura dei file, è possibile effettuare un processo di recupero dei dati e file dai seguenti punti:
- slack space
- spazio non allocato

L'unità più piccola che è possibile indirizzare da un file system è il cluster. Per memorizzare un file possono servire più cluster.

343934

Ad ogni rettangolo colorato è associata la memorizzazione di più parti di uno stesso file.
Quindi il file verde è composto da 6 parti, l'arancione da 4 e così via.
Il cluster che memorizza l'ultima parte di un file, potrebbe essere non completamente utilizzato. Lo spazio che intercorre dalla fine del file alla fine dell'ultimo cluster è chiamato slackspace. Esso è importante perchè al suo interno ci possono essere dati appartenenti a file cancellati precedentemente.
E allora, quando un file viene eliminato, i cluster allocati per esso, diventano non allocati e non saranno modificati finchè non saranno riallocati per memorizzare il contenuto di altri file.
Cosa c'entra con il Ramsonware tutto questo?
C'entra perchè il Ramsonmware cosa fa: prende il file originale, lo legge e cifra il suo contenuto generando un altro file. Infine cancella il file originale. Il file cancellato però è presente ancora nell'HDD (anche se non lo vediamo), fino a quando non verranno sovrascritti i cluster su cui era allocato.

Quindi, sfruttando questa cosa, possiamo tentare di recuperare i file cifrati dal Ramsonware.

Innanzitutto occorre installare una macchina virtuale con una distribuzione di KaliLinux (perchè ci sono i tool di recovery).
Utilizzate virtualbox come macchina virtuale: https://www.virtualbox.org/
Distribuzione di KaliLinux già pronta:
- 64 bit: https://images.offensive-security.com/virtual-images/kali-linux-2019.2-vbox-amd64.ova
- 32 bit: https://images.offensive-security.com/virtual-images/kali-linux-2019.2-vbox-i386.ova

Se non volete installare una VM, potete creare una penna USB e installarci KaliLinux e poiavviarla in live (più semplice ed immediato).

Poi vi occorre FTK Imager per poter creare l'immagine del vostro disco https://accessdata.com/product-download/ftk-imager-version-4-2-1
Inoltre vi servirà un case per HDD per collegarlo tramite USB.
Qui c'è la guida su come usare il tool FTK Imager per creare l'immagine del disco http://www.realitynet.it/services/d.../acquisizione-di-un-hard-disk-con-ftk-imager/
Se avete difficoltà, scrivetelo e vedrò di aggiungere un tutorial sul tool.
La cosa importante è bloccare le scritture sulle porte USB altrimenti la probabilità di recuperare i file è bassa.

Faccio una premessa: io i test li ho fatti su una macchina virtuale con windows installato ed ho eseguito (per ora) il ramsonware WannaCry. Quindi già avevo l'immagine pronta, ovvero il file vmdk. Il risultato è stato che i file sono stati recuperati.
Ora bisogna vedere su un caso reale se la cosa funziona (io penso di si). Inoltre c'è da considerare il fatto che in base al tipo di supporto di memorizzazione (SSD/HDD) le cose potrebbe cambiare (dato che l'SSD è diversa da un HDD)

Ottenuta l'immagine dd (ovvero RAW), bisogna spostarla su KaliLinux.
Avviato KaliLinux sulla macchina virtuale, avviamo il tool Foremost situato in "Applicazioni" -> "Analisi Forense"
Foremost supporta vari file tra cui: immagini, pdf, word, txt ecc.
La sintassi per utilizzare il tool è la seguente:
foremost -i <file> -o <dir> [options]

-i permette di specificare il percorso del file di input (l'immagine del disco precedentemente acquisita)
-o permette di specificare la directory di output
-options sono le opzioni (facoltative) da specificare solo se necessarie

Esempio di utilizzo: supponiamo che l'immagine dell'HDD acquisita si chiama prova.dd
Digitiamo il seguente comando:
Codice:
 foremost -i prova.dd -o Recuperati

L'output del processo verrà riportato nella cartella specificata, ovvero, Recuperati
NOTA: la cartella di output deve essere vuota altrimenti verrà dato un messaggio di errore dal tool

Per vedere se i file sono stati recuperati, basta accedere nella cartella "Recuperati".

Per ora è tutto.
Appena ho tempo vi indicherò altri tool per il recupero nel caso in cui Foremost non dovrebbe funzionare[/CODE]

UPDATE:
Ho terminato e i risultati, purtroppo sono negativi.
Quindi è utile allora prevedere questi disastri andando a fare un backup dei dati settimanalmente/mensilmente.
 
Ultima modifica da un moderatore:

Moffetta88

Moderatore
Staff Forum
Utente Èlite
20,399
12,849
CPU
i5-4690
Dissipatore
DEEPCOOL CAPTAIN 240EX
Scheda Madre
MSI Z97 U3 PLUS
HDD
KINGSTON SSD KC400 240GB
RAM
24GB BALLISTIX SPORT @2133MHz
GPU
STRIX GTX980 DC2OC
Audio
INTEGRATA
Monitor
AOC G2590VXQ
PSU
BEQUIET! System Power 7 500W
Case
DEEPCOOL MATREXX 55
Periferiche
NESSUNA
Net
EOLO 100
OS
UBUNTU/WINDOWS11
seguo, e appena torno a casa condivido le mie esperienze con sto "cancro"
 
  • Mi piace
Reazioni: Ibernato

r3dl4nce

Utente Èlite
16,513
8,995
Avrei molto da dire, ma dirò solo una cosa: una tesi che dice "ignora tutti i corretti metodi di mettere al sicuro i dati, ignora il GDPR, che tanto ci potrebbe essere modo di recuperare i dati" io la brucerei subito.
Perché non una tesi su sicurezza delle reti e dei dati, corretta gestione dei backup, ecc?
Inoltre, visto che sempre più i dischi meccanici sono sostituiti da ssd, dopo un TRIM saluta la possibilità di recuperare dati
 
  • Adoro
Reazioni: Moffetta88

Ibernato

Utente Èlite
4,328
2,047
OS
Windows 10 Pro / Ubuntu 22.04
Avrei molto da dire, ma dirò solo una cosa: una tesi che dice "ignora tutti i corretti metodi di mettere al sicuro i dati, ignora il GDPR, che tanto ci potrebbe essere modo di recuperare i dati" io la brucerei subito.
Perché non una tesi su sicurezza delle reti e dei dati, corretta gestione dei backup, ecc?
Inoltre, visto che sempre più i dischi meccanici sono sostituiti da ssd, dopo un TRIM saluta la possibilità di recuperare dati
infatti è per HDD. Se leggi, ho scritto che tra SSD e HDD c'è una differenza. Poi, se si fa subito quella operazione prima di TRIM puoi avere possibilità di recupero (ma non ho testato su SSD quindi non mi esprimo).
Inoltre, perchè dici che è da bruciare scusa? Si tratta di fare studi sui tool in circolazione e vedere se sono efficaci e non sui metodi per rendere sicuri i dati...
Su cosa hai da ridire? Così per capire meglio.
 

r3dl4nce

Utente Èlite
16,513
8,995
Sì in fatti. Io ho comunque detto come la penso. Io la vedo da sistemista, preferisco mettere i dati al sicuro che affidarmi a improbabili sistemi di recupero. Tanto i ransomware si evolvono, già dopo poco iniziarono a cancellare le shadow copy, il passo successivo (e non è detto che i recenti già non li facciano, te hai fatto prove con un vecchio ransomware) sarebbe sovrascrivere i settori.
Una buona strategia di backup e verifica backup invece non ha età e non teme guasti, ransomware, ecc.
 

Ibernato

Utente Èlite
4,328
2,047
OS
Windows 10 Pro / Ubuntu 22.04
Sì in fatti. Io ho comunque detto come la penso. Io la vedo da sistemista, preferisco mettere i dati al sicuro che affidarmi a improbabili sistemi di recupero. Tanto i ransomware si evolvono, già dopo poco iniziarono a cancellare le shadow copy, il passo successivo (e non è detto che i recenti già non li facciano, te hai fatto prove con un vecchio ransomware) sarebbe sovrascrivere i settori.
Una buona strategia di backup e verifica backup invece non ha età e non teme guasti, ransomware, ecc.
D'accordo che si evolvono, Infatti devo testare vari tipi (non solo WannaCry).
La guida nasce come utilità verso quelle persone inesperte e non per professionisti (e non mi reputo un professionista).
Volevo condividere questo risultato con voi in modo da poter aiutare qualche utente che si becca un tipo vecchio di ramsonware e vuole tentare il tutto per tutto.
Ripeto, che se il comando TRIM non viene subito eseguito, si potrebbero recuperare (ma non mi esprimo dato che non ho testato).
Se hai qualhe correzione da fare, dimmi pure.
 

Moffetta88

Moderatore
Staff Forum
Utente Èlite
20,399
12,849
CPU
i5-4690
Dissipatore
DEEPCOOL CAPTAIN 240EX
Scheda Madre
MSI Z97 U3 PLUS
HDD
KINGSTON SSD KC400 240GB
RAM
24GB BALLISTIX SPORT @2133MHz
GPU
STRIX GTX980 DC2OC
Audio
INTEGRATA
Monitor
AOC G2590VXQ
PSU
BEQUIET! System Power 7 500W
Case
DEEPCOOL MATREXX 55
Periferiche
NESSUNA
Net
EOLO 100
OS
UBUNTU/WINDOWS11
Ok, intanto che leggo ti quoto i vari paragrafi e ti rispondo:
Inutile dirvi che non ha senso pagare perchè le transazioni con le monete virtuali sono anonime e quindi il malvivente non è in grado di sapere chi ha effettuato il pagamento.
Meh, sbagliato. Solitamente ti danno un ID da specificare nella transazione. Tramite quell'ID sanno a chi mandare la chiave di decriptazione ( ho visto due casi in cui l'azienda ha pagato e ha riavuto indietro i dati )
C'entra perchè il Ramsonmware cosa fa: prende il file originale, lo legge e cifra il suo contenuto generando un altro file. Infine cancella il file originale. Il file cancellato però è presente ancora nell'HDD (anche se non lo vediamo), fino a quando non verranno sovrascritti i cluster su cui era allocato.
Meh... Dipende dal tipo di ransomware pigli. I primi magari sì, ma con i nuovi che riscrivono il file più e più volte la vedo dura..Di fatto mi è capitato di recuperare file già criptati dai vari tool..
Innanzitutto occorre installare una macchina virtuale con una distribuzione di KaliLinux (perchè ci sono i tool di recovery).
Perchè complicarsi la vita con una macchina virtuale? Live di kali e via ( più performante, e pieno accesso al disco, inoltre su vm molti antivirus bloccano alcuni tool di kali )
Poi vi occorre FTK Imager per poter creare l'immagine del vostro disco https://accessdata.com/product-download/ftk-imager-version-4-2-1
Inoltre vi servirà un case per HDD per collegarlo tramite USB.
Qui c'è la guida su come usare il tool FTK Imager per creare l'immagine del disco http://www.realitynet.it/services/d.../acquisizione-di-un-hard-disk-con-ftk-imager/
Se avete difficoltà, scrivetelo e vedrò di aggiungere un tutorial sul tool.
La cosa importante è bloccare le scritture sulle porte USB altrimenti la probabilità di recuperare i file è bassa.
Questo procedimento comunque andrebbe fatto prima della creazione della vm, inoltre foremost lavora anche sul disco, senza aver bisogno dell'immagine.



Esperienze personali


Per fortuna non ho avute molte e si possono contare su una mano.
  • La prima esperienza l'ho avuta nel 2016 tipo, piccola azienda, erano andati già 3 tecnici e gli avevano fatto più danni che altro.Di fatto si trattava dei primi ransomware ( noti ) in cui la chiave di cifratura era installata sul pc che subiva l'attacco, ma facendo girare decine di scansioni con antivirus e malware removal, avevano fatto saltare tutto.Essendo i primi di ransomware ce la siamo cavata con il recupero in toto delle copie shadow dell'intero disco.
  • La seconda e la terza se lo sono presi la stessa azienda nel giro di 3 mesi. Pagato tutte e 2 le volte e file recuperati ( eravamo degli esterni ed avevano il loro tecnico e quindi non potevamo metter naso )
  • Quarta volta, siamo già ad inizio 2018. Il cliente si accorge immediatamente che qualcosa non andava, stacca tutto e ci chiama. Per fortuna si trattava di qualcosa di antiquato preso da una mail di libero e tramite il tool di kaspersky siamo riusciti a decriptare perchè la chiave era ancora sul pc vittima e la decriptazione era tramite "cloud".
  • Quinta volta ed ultima volta, a cavallo del 2018/2019. cliente ci chiama per sistemare il pc che aveva un virus ( second lui ). Era da agosto che era infettato da ransomware... Copie shadow disabilitate e quelle recuperate erano corrotte, nessun file recuperabile se non dei file che erano già stati eliminati prima di aver preso il "virus". Anche il pc della moglie che era in rete aveva fatto la stessa fine perchè condividevano C:\ per passarsi i file scannerizzati.
Come dice @r3dl4nce , è più utile fare formazione e fare una tesi su come difenderci e non su come curare.
Sono malware che si evolvono troppo velocemente!

Io nell grosse aziende, dove ho server/nas, ho sempre un disco o più dischi su cui c'è un backup giornaliero criptato. Se dovesse succedere, in un giorno recupero tutto e sono di nuovo in bolla senza troppi fronzoli.
In casa ho un nas, ogni pc è isolato ed ha un backup simile su un disco interno ed una volta al mese faccio un'immagine disco. Ho insegnato ai miei genitori che devono mettere i file in una cartella e che questa cartella viene backuppata in automatica e loro non devono toccare niente di strano.

Questa guida è ottima, qualche inesattezza, ma però è valida per?Ancora 2 mesi? Anzi forse è già datata visto che adesso hanno cifrature non più a 256bit a 2048bit e sono più aggressivi
 

r3dl4nce

Utente Èlite
16,513
8,995
Regola della sicurezza dei dati 3-2-1
Di ogni dato importante devono esserci almeno 3 copie, almeno 2 in locale e 1 off-site.
Bastano due dischi usb da usare a rotazione giornaliera, di cui quello non usato da portare via. Copie complete con Veeam o simile per poter recuperare le installazioni di pc, macchine virtuali, ecc.
Di questo bisognerebbe scrivere, altroché
 
  • Mi piace
Reazioni: Moffetta88

Moffetta88

Moderatore
Staff Forum
Utente Èlite
20,399
12,849
CPU
i5-4690
Dissipatore
DEEPCOOL CAPTAIN 240EX
Scheda Madre
MSI Z97 U3 PLUS
HDD
KINGSTON SSD KC400 240GB
RAM
24GB BALLISTIX SPORT @2133MHz
GPU
STRIX GTX980 DC2OC
Audio
INTEGRATA
Monitor
AOC G2590VXQ
PSU
BEQUIET! System Power 7 500W
Case
DEEPCOOL MATREXX 55
Periferiche
NESSUNA
Net
EOLO 100
OS
UBUNTU/WINDOWS11
sì esatto, facendo così puoi prendere tutti i virus che vuoi, e come niente ripristini tutto.
Per le aziende avere dei pc fermi son soldi che entrano in meno, prima ripristinano meglio è.
Poi per fortuna ormai stan facendo passare tutti i software via cloud/webapp, quindi sui pc di software ce ne sono pochi o niente
 

r3dl4nce

Utente Èlite
16,513
8,995
Ovvio ma poi a noi sistemisti tocca gestire e mettere in sicurezza i data center, e li Allora via di cluster HA per failover, snapshot, disaster recovery, ecc
 

Ibernato

Utente Èlite
4,328
2,047
OS
Windows 10 Pro / Ubuntu 22.04
Non tutti hanno a disposizione un NAS o roba varia.
La guida nasce, ripeto, per quegli utenti di base che vogliono tentare il tutto per tutto.
Sono d'accordo che evolvono, io ho pensato di stilare una lsita dei ramnsomware su cui si riesce a recuperare.

Come dice @r3dl4nce , è più utile fare formazione e fare una tesi su come difenderci e non su come curare.
Sono malware che si evolvono troppo velocemente!
C'è anche un capitolo sulla difesa.
E' una mia idea, e volevo analizzare i ramnsomware in circolazione per vedere la loro "potenza".
Tutto qui.
Se la ritenete inutile, si può anche eliminare :)
 

Moffetta88

Moderatore
Staff Forum
Utente Èlite
20,399
12,849
CPU
i5-4690
Dissipatore
DEEPCOOL CAPTAIN 240EX
Scheda Madre
MSI Z97 U3 PLUS
HDD
KINGSTON SSD KC400 240GB
RAM
24GB BALLISTIX SPORT @2133MHz
GPU
STRIX GTX980 DC2OC
Audio
INTEGRATA
Monitor
AOC G2590VXQ
PSU
BEQUIET! System Power 7 500W
Case
DEEPCOOL MATREXX 55
Periferiche
NESSUNA
Net
EOLO 100
OS
UBUNTU/WINDOWS11
Non la ritengo inutile affatto, ma la vedo più per un qualcosa di hobbystico o per la casa, e non applicabile in nessun modo al mondo del lavoro.
Perchè nel fare tutta quella procedura, in un'azienda, ho già ripristinato tutti i back up e magari fatto pure un'installazione pulita del SO.
All'azienda costa meno, l'operatore ha perso poco tempo e tutti sono felici.
Tutto qui, poi vabbè, i punti che ti ho citato erano un po' inesatti dal mio punto di vista
 

Ibernato

Utente Èlite
4,328
2,047
OS
Windows 10 Pro / Ubuntu 22.04
Non la ritengo inutile affatto, ma la vedo più per un qualcosa di hobbystico o per la casa, e non applicabile in nessun modo al mondo del lavoro.
Perchè nel fare tutta quella procedura, in un'azienda, ho già ripristinato tutti i back up e magari fatto pure un'installazione pulita del SO.
All'azienda costa meno, l'operatore ha perso poco tempo e tutti sono felici.
Tutto qui, poi vabbè, i punti che ti ho citato erano un po' inesatti dal mio punto di vista
Infatti non è per le aziende.
Ovvio che nelle aziende ci devono essere tutte quelle cose da te citate.
Però non tutte attuano questi procedimenti :D
 

Mursey

Super Moderatore
Staff Forum
Utente Èlite
8,188
5,616
Aggiunta alla lista ufficiale, solo una piccola correzione: si chiamano Ransomware ;)
 

Moffetta88

Moderatore
Staff Forum
Utente Èlite
20,399
12,849
CPU
i5-4690
Dissipatore
DEEPCOOL CAPTAIN 240EX
Scheda Madre
MSI Z97 U3 PLUS
HDD
KINGSTON SSD KC400 240GB
RAM
24GB BALLISTIX SPORT @2133MHz
GPU
STRIX GTX980 DC2OC
Audio
INTEGRATA
Monitor
AOC G2590VXQ
PSU
BEQUIET! System Power 7 500W
Case
DEEPCOOL MATREXX 55
Periferiche
NESSUNA
Net
EOLO 100
OS
UBUNTU/WINDOWS11
Infatti non è per le aziende.
Ovvio che nelle aziende ci devono essere tutte quelle cose da te citate.
Però non tutte attuano questi procedimenti :D
Vero, però metterei un disclamer:
se hai usato un qualsiasi tool di pulizia virus/ chiavi di registro / programmi magici / ccleaner e se sono passate più di 48h, non perderci tempo.
Questa guida parte con il presupposto che io prendo il virus e non faccio niente prima di testare questa guida.

Poi ribadisco che è meglio farlo da chiavetta live e non da vm ^^
 
  • Mi piace
Reazioni: Ibernato

Entra

oppure Accedi utilizzando
Discord Ufficiale Entra ora!