N. B. grazie a @Moffetta88 per il suggerimento:
se hai usato un qualsiasi tool di pulizia virus/ chiavi di registro / programmi magici / ccleaner e se sono passate più di 48h, non perderci tempo.
Questa guida parte con il presupposto che io prendo il virus e non faccio niente prima di testare questa guida.
Ciao a tutti,
come argomento di tesi sto portando l'analisi dei tool di recupero file presenti in rete per vedere se sono in grado di recuperare i file cifrati da un attacco Ramsonware. In rete non ho trovato nulla a riguardo o roba simile (se avete qualche materiale condividitelo). Inoltre, se siete interessati anche voi ad un argomento tesi o esame di stato, potete scrivermi in pm o sotto al post e possiamo confrontarci.
Sicuramente vi starete chiedendo: Come è possibile recuperare un file criptato se non abbiamo la chiave per decifrarlo?
Leggete la guida fino in fondo e capirete che non c'è bisogno della chiave se siamo fortunati :)
Prima di procedere con la guida è bene dare la definizione di cosa è un Ramsonware:
Un Ramsomware è un malware che, una volta eseguito sul computer, vi cripta tutti i file e poi vi sarà richiesto un riscatto (in bitcoin o simili) da pagare per poter riavere indietro i file. Inutile dirvi che non ha senso pagare perchè le transazioni con le monete virtuali sono anonime e quindi il malvivente non è in grado di sapere chi ha effettuato il pagamento.
Sicuramente vi ricorderete dei danni causati da WannaCry nel maggio 2017.
Se siete qui 2 sono i motivi:
1) siete curiosi
2) vi siete beccati il Ramsonware e volete recuperare i file.
I vari sistemi operativi (OS), utilizzano i propri file system, ai fini di permettere l'accesso, la memorizzazione e la modifica dei dati.
Allo stesso modo, i supporti di memorizzazione, permettono le suddette operazioni, in accordo al file system utilizzato. Quindi, sfruttando alcune caratteristiche della struttura dei file, è possibile effettuare un processo di recupero dei dati e file dai seguenti punti:
- slack space
- spazio non allocato
L'unità più piccola che è possibile indirizzare da un file system è il cluster. Per memorizzare un file possono servire più cluster.
Ad ogni rettangolo colorato è associata la memorizzazione di più parti di uno stesso file.
Quindi il file verde è composto da 6 parti, l'arancione da 4 e così via.
Il cluster che memorizza l'ultima parte di un file, potrebbe essere non completamente utilizzato. Lo spazio che intercorre dalla fine del file alla fine dell'ultimo cluster è chiamato slackspace. Esso è importante perchè al suo interno ci possono essere dati appartenenti a file cancellati precedentemente.
E allora, quando un file viene eliminato, i cluster allocati per esso, diventano non allocati e non saranno modificati finchè non saranno riallocati per memorizzare il contenuto di altri file.
Cosa c'entra con il Ramsonware tutto questo?
C'entra perchè il Ramsonmware cosa fa: prende il file originale, lo legge e cifra il suo contenuto generando un altro file. Infine cancella il file originale. Il file cancellato però è presente ancora nell'HDD (anche se non lo vediamo), fino a quando non verranno sovrascritti i cluster su cui era allocato.
Quindi, sfruttando questa cosa, possiamo tentare di recuperare i file cifrati dal Ramsonware.
Innanzitutto occorre installare una macchina virtuale con una distribuzione di KaliLinux (perchè ci sono i tool di recovery).
Utilizzate virtualbox come macchina virtuale: https://www.virtualbox.org/
Distribuzione di KaliLinux già pronta:
- 64 bit: https://images.offensive-security.com/virtual-images/kali-linux-2019.2-vbox-amd64.ova
- 32 bit: https://images.offensive-security.com/virtual-images/kali-linux-2019.2-vbox-i386.ova
Se non volete installare una VM, potete creare una penna USB e installarci KaliLinux e poiavviarla in live (più semplice ed immediato).
Poi vi occorre FTK Imager per poter creare l'immagine del vostro disco https://accessdata.com/product-download/ftk-imager-version-4-2-1
Inoltre vi servirà un case per HDD per collegarlo tramite USB.
Qui c'è la guida su come usare il tool FTK Imager per creare l'immagine del disco http://www.realitynet.it/services/d.../acquisizione-di-un-hard-disk-con-ftk-imager/
Se avete difficoltà, scrivetelo e vedrò di aggiungere un tutorial sul tool.
La cosa importante è bloccare le scritture sulle porte USB altrimenti la probabilità di recuperare i file è bassa.
Faccio una premessa: io i test li ho fatti su una macchina virtuale con windows installato ed ho eseguito (per ora) il ramsonware WannaCry. Quindi già avevo l'immagine pronta, ovvero il file vmdk. Il risultato è stato che i file sono stati recuperati.
Ora bisogna vedere su un caso reale se la cosa funziona (io penso di si). Inoltre c'è da considerare il fatto che in base al tipo di supporto di memorizzazione (SSD/HDD) le cose potrebbe cambiare (dato che l'SSD è diversa da un HDD)
Ottenuta l'immagine dd (ovvero RAW), bisogna spostarla su KaliLinux.
Avviato KaliLinux sulla macchina virtuale, avviamo il tool Foremost situato in "Applicazioni" -> "Analisi Forense"
Foremost supporta vari file tra cui: immagini, pdf, word, txt ecc.
La sintassi per utilizzare il tool è la seguente:
-i permette di specificare il percorso del file di input (l'immagine del disco precedentemente acquisita)
-o permette di specificare la directory di output
-options sono le opzioni (facoltative) da specificare solo se necessarie
Esempio di utilizzo: supponiamo che l'immagine dell'HDD acquisita si chiama prova.dd
Digitiamo il seguente comando:
L'output del processo verrà riportato nella cartella specificata, ovvero, Recuperati
NOTA: la cartella di output deve essere vuota altrimenti verrà dato un messaggio di errore dal tool
Per vedere se i file sono stati recuperati, basta accedere nella cartella "Recuperati".
Per ora è tutto.
Appena ho tempo vi indicherò altri tool per il recupero nel caso in cui Foremost non dovrebbe funzionare[/CODE]
UPDATE:
Ho terminato e i risultati, purtroppo sono negativi.
Quindi è utile allora prevedere questi disastri andando a fare un backup dei dati settimanalmente/mensilmente.
se hai usato un qualsiasi tool di pulizia virus/ chiavi di registro / programmi magici / ccleaner e se sono passate più di 48h, non perderci tempo.
Questa guida parte con il presupposto che io prendo il virus e non faccio niente prima di testare questa guida.
Ciao a tutti,
come argomento di tesi sto portando l'analisi dei tool di recupero file presenti in rete per vedere se sono in grado di recuperare i file cifrati da un attacco Ramsonware. In rete non ho trovato nulla a riguardo o roba simile (se avete qualche materiale condividitelo). Inoltre, se siete interessati anche voi ad un argomento tesi o esame di stato, potete scrivermi in pm o sotto al post e possiamo confrontarci.
Sicuramente vi starete chiedendo: Come è possibile recuperare un file criptato se non abbiamo la chiave per decifrarlo?
Leggete la guida fino in fondo e capirete che non c'è bisogno della chiave se siamo fortunati :)
Prima di procedere con la guida è bene dare la definizione di cosa è un Ramsonware:
Un Ramsomware è un malware che, una volta eseguito sul computer, vi cripta tutti i file e poi vi sarà richiesto un riscatto (in bitcoin o simili) da pagare per poter riavere indietro i file. Inutile dirvi che non ha senso pagare perchè le transazioni con le monete virtuali sono anonime e quindi il malvivente non è in grado di sapere chi ha effettuato il pagamento.
NON PAGATE
L'attacco, di solito, avviene tramite allegati e-mail, o attraverso il browser, in caso di apertura di un sito web infettato da questo tipo di malware. L'accesso al PC può inoltre avvenire attraverso la rete.Sicuramente vi ricorderete dei danni causati da WannaCry nel maggio 2017.
Se siete qui 2 sono i motivi:
1) siete curiosi
2) vi siete beccati il Ramsonware e volete recuperare i file.
I vari sistemi operativi (OS), utilizzano i propri file system, ai fini di permettere l'accesso, la memorizzazione e la modifica dei dati.
Allo stesso modo, i supporti di memorizzazione, permettono le suddette operazioni, in accordo al file system utilizzato. Quindi, sfruttando alcune caratteristiche della struttura dei file, è possibile effettuare un processo di recupero dei dati e file dai seguenti punti:
- slack space
- spazio non allocato
L'unità più piccola che è possibile indirizzare da un file system è il cluster. Per memorizzare un file possono servire più cluster.
Ad ogni rettangolo colorato è associata la memorizzazione di più parti di uno stesso file.
Quindi il file verde è composto da 6 parti, l'arancione da 4 e così via.
Il cluster che memorizza l'ultima parte di un file, potrebbe essere non completamente utilizzato. Lo spazio che intercorre dalla fine del file alla fine dell'ultimo cluster è chiamato slackspace. Esso è importante perchè al suo interno ci possono essere dati appartenenti a file cancellati precedentemente.
E allora, quando un file viene eliminato, i cluster allocati per esso, diventano non allocati e non saranno modificati finchè non saranno riallocati per memorizzare il contenuto di altri file.
Cosa c'entra con il Ramsonware tutto questo?
C'entra perchè il Ramsonmware cosa fa: prende il file originale, lo legge e cifra il suo contenuto generando un altro file. Infine cancella il file originale. Il file cancellato però è presente ancora nell'HDD (anche se non lo vediamo), fino a quando non verranno sovrascritti i cluster su cui era allocato.
Quindi, sfruttando questa cosa, possiamo tentare di recuperare i file cifrati dal Ramsonware.
Innanzitutto occorre installare una macchina virtuale con una distribuzione di KaliLinux (perchè ci sono i tool di recovery).
Utilizzate virtualbox come macchina virtuale: https://www.virtualbox.org/
Distribuzione di KaliLinux già pronta:
- 64 bit: https://images.offensive-security.com/virtual-images/kali-linux-2019.2-vbox-amd64.ova
- 32 bit: https://images.offensive-security.com/virtual-images/kali-linux-2019.2-vbox-i386.ova
Se non volete installare una VM, potete creare una penna USB e installarci KaliLinux e poiavviarla in live (più semplice ed immediato).
Poi vi occorre FTK Imager per poter creare l'immagine del vostro disco https://accessdata.com/product-download/ftk-imager-version-4-2-1
Inoltre vi servirà un case per HDD per collegarlo tramite USB.
Qui c'è la guida su come usare il tool FTK Imager per creare l'immagine del disco http://www.realitynet.it/services/d.../acquisizione-di-un-hard-disk-con-ftk-imager/
Se avete difficoltà, scrivetelo e vedrò di aggiungere un tutorial sul tool.
La cosa importante è bloccare le scritture sulle porte USB altrimenti la probabilità di recuperare i file è bassa.
Faccio una premessa: io i test li ho fatti su una macchina virtuale con windows installato ed ho eseguito (per ora) il ramsonware WannaCry. Quindi già avevo l'immagine pronta, ovvero il file vmdk. Il risultato è stato che i file sono stati recuperati.
Ora bisogna vedere su un caso reale se la cosa funziona (io penso di si). Inoltre c'è da considerare il fatto che in base al tipo di supporto di memorizzazione (SSD/HDD) le cose potrebbe cambiare (dato che l'SSD è diversa da un HDD)
Ottenuta l'immagine dd (ovvero RAW), bisogna spostarla su KaliLinux.
Avviato KaliLinux sulla macchina virtuale, avviamo il tool Foremost situato in "Applicazioni" -> "Analisi Forense"
Foremost supporta vari file tra cui: immagini, pdf, word, txt ecc.
La sintassi per utilizzare il tool è la seguente:
foremost -i <file> -o <dir> [options]
-i permette di specificare il percorso del file di input (l'immagine del disco precedentemente acquisita)
-o permette di specificare la directory di output
-options sono le opzioni (facoltative) da specificare solo se necessarie
Esempio di utilizzo: supponiamo che l'immagine dell'HDD acquisita si chiama prova.dd
Digitiamo il seguente comando:
Codice:
foremost -i prova.dd -o Recuperati
L'output del processo verrà riportato nella cartella specificata, ovvero, Recuperati
NOTA: la cartella di output deve essere vuota altrimenti verrà dato un messaggio di errore dal tool
Per vedere se i file sono stati recuperati, basta accedere nella cartella "Recuperati".
Per ora è tutto.
Appena ho tempo vi indicherò altri tool per il recupero nel caso in cui Foremost non dovrebbe funzionare[/CODE]
UPDATE:
Ho terminato e i risultati, purtroppo sono negativi.
Quindi è utile allora prevedere questi disastri andando a fare un backup dei dati settimanalmente/mensilmente.
Ultima modifica da un moderatore:
Mi Piace:
sp3ctrum e crimescene