Cryptolocker e la sua variante italiana (in aggiornamento)

Ieri mattina ho visto spuntare fuori un aggiornamento di stato su Facebook, poi un altro su Twitter, un altro ancora su entrambi e via andare così per svariate ore, è evidentemente stata una giornata “piena“. Mail scritte in italiano corretto, manca giusto qualche simbolo ma si tratta di sciocchezze perché l’occhio viene facilmente ingannato dalla scorrevolezza del testo e dal “possibile contenuto” dato che si parla di ordini, fatture e rimborsi, terreno fertile è la tipica azienda italiana più che il privato cittadino (ma non fa eccezione). Fate attenzione a questo articolo riepilogativo, cercherò di riportare tutti i dati che vi servono per riconoscere le mail con a bordo Cryptolocker prima che sia troppo tardi.

Cryptolocker

Di cosa si tratta

Sarò breve perché non è la parte che interessa “ai più“. Cryptolocker è un software di tipo ransomware, prendono in ostaggio i vostri file crittografandoli con una chiave privata che non potrete avere a meno di versare una cifra stabilita (da loro) entro un tetto massimo di ore (variabili) oltre le quali i file sono da considerarsi definitivamente persi. Volete approfondire? Qui trovate la definizione di Ransomware (in inglese) di e qui Michele ne parlava lo scorso dicembre su ilSoftware. Sul forum di BleepingComputer si parla delle nuove varianti in più lingue (e in questo caso il messaggio in italiano non è così perfetto).

Dettaglio da non sottovalutare: il software è in grado di modificare e impedire l’utilizzo dei file sul vostro PC tanto quanto quelli presenti nei dischi di rete qualora questi dovessero essere per voi accessibili in lettura e scrittura, il danno potrebbe essere potenzialmente devastante.

Le mail che possono arrivare

Sono di diverso tipo e -come detto inizialmente- scritte in italiano tutto sommato corretto e fluente, i dettagli “errati” (e neanche tanto) sono pochi, pochissimi, praticamente appigli inesistenti per l’utente di base (o quasi).

Cryptolocker

Non dovrei dirlo ma quel file (un %Nome a caso sempre variabile%.CAB, per la cronaca) non dovrete mai aprirlo. È una ovvietà ma le telefonate arrivate in HelpDesk (in ufficio da me) non sono state poche, fortunatamente parecchi utenti del gruppo sanno benissimo che possono girare questo tipo di comunicazioni e sanno altrettanto bene che vanno immediatamente cestinate senza pensarci su due volte. Sono rari i casi in cui vengono inoltrate “as-is” all’indirizzo dell’assistenza per una ulteriore verifica. Non è così per tutti, è importante che facciate attenzione a ciò che andate ad aprire spesso “con troppa spensieratezza. Un amico e collega di mestiere è arrivato ad affermare che con i propri clienti è diventato più semplice chiedere di pagare piuttosto che debellare la minaccia e recuperare i file, spesso mancano i backup (soprattutto quando si tratta di privati che pensano di essere al di sopra delle più banali norme di sicurezza e protezione dei dati) e non esistono ancora metodi sicuri per rimuovere l’infezione e rimuovere la crittografia applicata ai propri documenti. Allo stato attuale delle cose ci sono alcuni antivirus che ancora faticano a rilevare Cryptolocker e le sue varianti più giovani.

Qui il report di VirusTotal su un file CAB infetto: virustotal.com/it/file/cd02630a9b1ae5c224a3aa264190fabff449b3c8922be8d1fb1da28f4ac0b5e4/analysis/1422391692 (1 solo motore antivirus lo rileva senza sapere di preciso di cosa si tratta, tanto per farvi capire quanto può essere pericoloso e apparentemente innocuo).

È di solo 48 ore fa (circa) la discussione nella Mailing List di Sikurezza.org riguardo questo nuovo attacco verso gli indirizzi di posta italiani, consiglio ai più curiosi di dare un’occhiata: mail-archive.com/ml@sikurezza.org/msg04940.html

Incollo un’ulteriore mail che -come noterete- assomiglia parecchio alla prima in immagine poco sopra, in allegato il solito file cab :

"Ti ringraziamo per l'ordine effettuato di recente e confermiamo di aver 
ricevuto i prodotti restituiti.

Il tuo numero di riferimento è: V27E67848DA82536
Azienda: A.P.TEX. S.A.S.

I seguenti oggetti sono stati rimborsati come richiesto:
=====
1 x CARTUCCIA EPSON NERO MATT X R1900 C13T0878402: 14.14 EUR
1 x TONER SAMSUNG NERO ML-D3470A X SER. 3560-3561: 90.66 EUR
6 x SW NUANCE OMNIPAGE 16 PRO FULL IT: 460.47*6 = 2762.82 EUR
1 x CORLDESS BRONDI DC2080V GRIGIO: 24.39 EUR
1 x FLOPPY LOCK KENSINGTON 3.5: 17.85 EUR
=====
Totale: 2909.86 EUR

Si prega di aprire il file allegato per maggiori informazioni.

=====
Rubens Cotti"

Dubbi o curiosi di sapere ulteriore informazioni? L’area commenti è a vostra totale disposizione. Colgo l’occasione per ringraziare le varie fonti in ordine sparso per le informazioni e parte dei testi e delle immagini (Andrea e Cristian, ma anche gli utenti della lista di Sikurezza.org)

Fate attenzione!

Aggiornamento 29/1 08:20
Si parla di attacco hacker ma ovviamente non lo è, il classico doppio clic di troppo ed ecco servita la chiusura per due giorni affinché si possano recuperare i dati dal backup e verificare l’integrità di tutto prima di ricominciare a prestare servizio per la clientela:

Powershell: risultati delle query troncati? Come risolvere il problema

Powershell_200px-GWallOggi voglio tornare a parlarvi di Powershell e di rapidi consigli per la sopravvivenza. Chi è abituato a tenere una finestra sempre aperta sul mondo Exchange in Cloud avrà sicuramente notato una particolarità che nel 90% dei casi non scatena alcun fastidio ma che in quel 10% decisamente più raro in cui imbattersi può diventare una limitazione: risultati troncati.

Stringhe che sul vostro prompt diventano improvvisamente più brevi e che vedono sostituirsi buona parte dei caratteri con i classici 3 puntini di sospensione (come nell’immagine che vi ripesco da un articolo più vecchio, qui di seguito):

pshell-loginOk

Il metodo per aggirare la limitazione è piuttosto semplice e dipende esclusivamente dalle preferenze di default applicate alla vostra Powershell, si tratta più precisamente del parametro $FormatEnumerationLimit, come viene spiegato molto bene qui: blogs.technet.com/b/heyscriptingguy/archive/2011/11/20/change-a-powershell-preference-variable-to-reveal-hidden-data.aspx. Potete verificarne il vostro attuale valore semplicemente digitando il parametro in Powershell:

PS C:\PS1\PS1> $FormatEnumerationLimit
4

E quindi modificarlo portandolo a -1 per evitare che i risultati vengano troncati. A questo però va aggiunta una piccola accortezza che riguarda il numero massimo di caratteri utilizzati per pubblicare un risultato in Powershell, parametro “Out-String” per la precisione, del quale si parla anche nel blog di Greig all’indirizzo greiginsydney.com/viewing-truncated-powershell-output. Un comando completo dovrà quindi integrare il parametro che per l’occasione potrete portare sempre più in “alto” in base alle vostre esigenze (nell’esempio del prossimo paragrafo mi è bastato un semplice Out-String -Width 500).

Possibile applicazione

Passiamo alla “ciccia” vera e propria. L’esigenza era quella di creare un piccolissimo script di “emergenza” nel caso in cui qualche collega (o il sottoscritto stesso) dimentichi che il comando -ResourceDelegates su una mailbox di risorsa (in questo caso una sala riunioni) non va ad aggiungere utenti in coda ma li sostituisce in toto con quelli digitati subito dopo rimuovendo quelli già esistenti (inseriti in precedenza, giorni o secoli prima!). Si modifica lo script, si integrano nuovi delegati in coda a quelli già esistenti e si rilancia lo script, a prova di scimmia, zero errori salvo catastrofi naturali o innaturali non prevedibili:

Nello script si vede chiaramente l’impiego della modifica al parametro $FormatEnumerationLimit e la necessità di modificare l’output della verifica delegati grazie alla forzatura dell’Out-String a 500 caratteri.

Rapido e indolore, come sempre.

Buon lavoro!

Rimuovere la pubblicità da uTorrent

utorrent-logoProtocollo, utilità e potenzialità le conoscete già, non fate finta di non aver mai utilizzato il (quasi certamente) più diffuso client disponibile sulla piazza. Dal setup al primo utilizzo è questione di attimi, robustezza, stabilità e capacità di svolgere egregiamente il proprio lavoro anche dietro connessioni apparentemente in disaccordo con l’idea di BitTorrent stesso sono quelle caratteristiche che ve lo faranno amare nel tempo.

Unica pecca: quella pubblicità molto più che fastidiosa, insopportabile, inaccettabile nonostante si tratti di un progetto che vi permette di ottenere un client torrent gratuito e sempre aggiornato. Se anche voi siete delle brutte persone come il sottoscritto sappiate che è possibile eliminare quell’area dedicata ai banner anni 90 tutti colori e movimenti da mal di mare, basterà mettere mano alla configurazione del programma.

In alto a destra, signore.

È quello il punto di accesso più rapido per le impostazioni del programma, l’icona a forma di ingranaggio che si trova in alto a destra nel programma, altrimenti vale anche il classico “Opzioni” / “Impostazioni” dalla barra menu superiore. A questo punto spostatevi sulla voce Avanzate (se non lo avrà già fatto per voi il programma) e utilizzate il campo di ricerca per individuare le voci da disattivare. Partite con l’inserire il termine “upsell” (no virgolette, grazie) che individuerà la voce gui.show_plus_upsell, la quale andrà portata da true a false tramite apposita radiobox in fondo alla finestra:

uTorrent-upsell

Rifate la stessa cosa cercando ora il termine “offer” e individuate due voci ben precise, entrambe da portare a false come già fatto poco fa, si tratta di offers.left_rail_offer_enabled e offers.sponsored_torrent_offer_enabled:

uTorrent-offer

Potete ora fare clic su OK per confermare le modifiche appena apportate e godervi finalmente un’interfaccia pulita, molto più di quanto non lo fosse prima:

uTorrent-CleanWindow

Test eseguiti su uTorrent 3.4.2, attuale versione disponibile (alla data di pubblicazione dell’articolo), dallo scorso anno ad oggi è stata aggiunta esclusivamente la voce “offers.left_rail_offer_enabled” che ha fatto ricomparire una fastidiosa area banner, se dovessero uscire fuori altre opzioni da andare a bloccare provvederò ad aggiornare questo articolo ;-)

Android: sfoltire la rubrica pur non perdendo alcun contatto

Android's Corner è il nome di una raccolta di articoli pubblicati su questi lidi che raccontano l'esperienza Android, consigli, applicazioni, novità e qualsiasi altra cosa possa ruotare intorno al mondo del sistema operativo mobile di Google e sulla quale ho avuto possibilità di mettere mano, di ritoccare, di far funzionare, una scusa come un'altra per darvi una mano e scambiare opinioni insieme :-)

Android-GMailChi più, chi meno, tutti abbiamo contatti con una molteplicità importante di persone, contatti che ovviamente finiscono nel nostro smartphone componendo liste che raggiungono numeri a tre cifre con una discreta facilità. Diversi sono contatti personali e abituali che sentiamo spesso, anche più volte al giorno, altri molto di meno ma comunque importanti, da tenere da parte in caso di necessità. Se pensate però che quei contatti inizino a diventare troppi mentre ne cercate uno in particolare (nel mio specifico caso questo accade spesso in macchina, con i comandi al volante, ndr) è possibile che sia arrivato il momento di riorganizzarli e nasconderli “a prima vista“.

È tutta una questione di “Contacts

Utilizzate GMail e quindi Google Contacts. Forse saprete (o forse no) che Google Contacts permette la creazione di gruppi all’interno dei quali potrete inserire i vostri contatti. Attenzione: non si tratta di un vero e proprio contenitore ma più di un tag” da associare allo specifico contatto (o a più contatti contemporaneamente, ovvio), quel tag potrà essere rapidamente filtrato o nascosto sia da telefono che da PC. Create un nuovo gruppo, dategli un nome che possa “parlare al posto vostro” (serve affinché un domani voi possiate ricordarvi il perché avete creato quel gruppo!) e selezionate un qualsiasi contatto non vi interessi tenere tra quelli immediatamente ricercabili. A questo punto basterà fare clic sul pulsante “Gruppi” nella parte alta della pagina e selezionate il gruppo appena creato (nell’immagine il nuovo gruppo è Archivio):

GoogleContacts-Gruppo

Ripetete l’operazione per tutti i contatti che non ritenete opportuno avere così a portata di mano fino a quando il vostro nuovo gruppo non sarà completamente popolato. Al termine selezionatelo, quindi con un paio di clic in più dovrete selezionare tutti i contatti contenuti sotto questo stesso tetto:

Schermata 2015-01-18 alle 16.14.28

Ora potrete nuovamente selezionare l’icona gruppi e fare clic su “Contatti personali” affinché questi vengano esclusi in un solo colpo dal gruppo principale utilizzato da Google Contacts e quindi anche dal vostro smartphone Android. Il risultato? Questi contatti saranno sempre e comunque ricercabili quando inviate una nuova mail e con una semplice nuova mossa sul telefono potremo però escluderlo dalla rubrica principale che si accede tramite l’applicazione telefono (la stessa che viene interrogata dall’automobile per scaricare e sincronizzare i contatti).

Mano al telefono

Aprite l’applicazione Telefono e spostatevi nella vista Contatti, quindi selezionate le Opzioni Aggiuntive (quell’icona formata da 3 pallini in verticale, ndr) ed in seguito Filtro:

Screenshot_2015-01-19-16-24-07

Cercate l’account Google, espandetelo ed ecco il trucco servito su un piatto d’argento. Basterà infatti togliere il segno di spunta ai gruppi che volete escludere dalla vista contatti principale e -quando terminato- tornare indietro per godervi il risultato :-)

Screenshot_2015-01-19-16-24-56

Facile, veloce, utile per tenere sempre in ordine la vostra rubrica contatti.

Quello che Google sa di te (e anche di me)

È uno di quegli articoli sempreverdi che non passa mai di moda, “il lupo nero” che la mamma utilizzava per metterci la giusta dose di paura addosso evitando così di farci mettere le mani sul fuoco o nella presa della corrente elettrica, un metodo da sempre odiato perché preferito alla spiegazione più complessa in stile “non si fa perché“, ma questo è tutt’altro discorso.

sergey-brin-wearing-google-glass-portrait-illustration_Fotor

I dati sono la risorsa più preziosa per il motore di ricerca più importante e conosciuto al mondo, voi siete dati, tutti i giorni, tutto il giorno, una continua cascata nelle loro macchine, nel loro spazio, non ve lo ha mai detto la mamma che nessuno regala niente in realtà? I suoi servizi sono ormai considerati fondamentali e tutti (o quasi) abbiamo una casella di posta GMail o uno smartphone Android (ma anche iOS)ch. Non avete mai avuto la curiosità di sapere cosa sa di voi Google? Ci sono alcuni indirizzi da conoscere per andare a consultare almeno in parte quei dati. Facciamoci insieme un’idea :-)

Una dashboard, tutto il mondo Google

Da qualche tempo ormai big G. ha realizzato e messo a disposizione di noi tutti una grande console attraverso la quale controllare statistiche (ma non solo) di ogni singolo servizio messo a disposizione, è una dashboard dalla quale potrete rilanciare rapidamente ogni sito web connesso all’azienda e al vostro account. Potete dargli un’occhiata (e optare per un reminder mensile che inviterà puntualmente a farlo successivamente) puntando il browser all’indirizzo google.com/settings/dashboard.

Partiamo dai fondamentali: le ricerche

Google è nato come motore di ricerca e come tale nella maggior parte dei casi (per tante persone almeno) viene utilizzato, è giusto quindi partire da quello (fatta eccezione per la Dashboard). Potete consultare la cronologia delle vostre ricerche sia per ciò che riguarda Google (motore principale) che per YouTube, trattandosi di un prodotto della stessa azienda. Rispettivamente potrete far riferimento a google.com/history e youtube.com/feed/history/search_history. Vi ricordo che aprendo una finestra di navigazione anonima (Firefox, Modalità Incognito invece per Chrome) le ricerche non verranno memorizzate all’interno della cronologia.

Google
Download @
Google Play
Developer: Google Inc.
Price: Free
YouTube
Download @
Google Play
Developer: Google Inc.
Price: Free

Sei stato per caso dall’amante?

È una vera e propria cronologia delle vostre posizioni, non necessariamente basata sull’utilizzo di Google Maps. Può andare bene uno smartphone, un checkin o qualsiasi altra cosa ricondotta al vostro account. Salvo un’opzione differente stabilita all’interno delle applicazioni di Google presenti sul vostro PC, telefono o tablet. Se siete stati dall’amante vi consiglio di far qualcosa per eliminare quelle posizioni ormai memorizzate e accessibili (ripeto: se non disattivate volutamente nelle applicazioni di Google) all’indirizzo maps.google.com/locationhistory. Vi chiedete se Google è in grado di mandarvi un killer specializzato in caso di necessità? Beh la risposta è davanti ai vostri occhi filtrando gli ultimi 30 giorni di spostamenti, volendo ;-)

Maps
Download @
Google Play
Developer: Google Inc.
Price: Free

Dimmi chi accede a cosa

Ovvero tutte quelle applicazioni, servizi di terze parti e hardware che in qualche modo comunica con il vostro account Google ed a ciascuno dei suoi servizi e siti web annessi. Non preoccupatevi se troverete sconfinate praterie di schifezze in grado di accedere ai vostri dati, da questa stessa schermata potrete revocare ogni singolo accesso conoscendone prima l’accesso dettagliato, vi basterà puntare il vostro browser all’indirizzo security.google.com/settings/security/permissions.

Pubblicità, alla base di tutto

La pubblicità è l’anima del commercio, si parla quindi di Google Ads, con dati basati sul vostro account e sulla vostra navigazione, google.com/settings/ads vi darà accesso ad abitudini, target, età / sesso / dati personali raccolti grazie a voi o per calcoli degli script di Google stesso. Da qui potrete disattivare inoltre disattivare gli annunci basati sui vostri interessi nei siti specifici dei servizi di Google (GMail, Maps, ecc.) e nella semplice ricerca web. Esiste inoltre un componente aggiuntivo che permette di disattivare il tracciamento di Google Analytics da installare direttamente nel vostro browser, potete scoprirne di più visitando la pagina tools.google.com/dlpage/gaoptout?hl=it.

Controllo di sicurezza dell’account

Si tratta della pagina che riassume i dettagli del vostro account, la stessa all’interno della quale vengono riepilogate anche le policy di sicurezza che lo regolano, dalla quale potrete ritoccare il piano dati a disposizione (lo spazio utilizzato da GMail o dal backup delle foto, giusto per capirci), modificare la password e molto altro ancora, un coltellino svizzero da non sottovalutare affatto, si accede tramite  accounts.google.com.

Verifica in due passaggi

È uno di quegli argomenti di cui vi parlo mille volte e che spero sia entrato ormai nel vostro quotidiano. Più che scoprire cosa Google sa di voi in questo caso sarebbe il caso di mettere tra voi e una terza parte qualsiasi (Google compresa, ndr) uno strato di sicurezza in più. Alla pagina google.com/intl/it/landing/2step troverete istruzioni e tour. Nel caso in cui siate già registrati troverete i vostri dettagli, i codici di backup, il numero di cellulare associato e qualsiasi ulteriore dettaglio, ultimo dettaglio curioso è la data dalla quale Google “vi protegge” tramite la verifica in due passaggi.

ICE: In Case of Emergency

È un prendi tutto e scappa, nel caso in cui voleste fare un fagotto per migrare sull’isola che non c’è oppure nel caso in cui vogliate mettere al sicuro tutto ciò che vi riguarda prima di una improbabile ma eventuale apocalisse in casa Google. Accedete a google.com/takeout e richiedete il download di ciò che vi spetta.

In conclusione

Penso sia importante conoscere il più possibile ciò che ci riguarda e che seminiamo -volenti o nolenti- sul web, soprattutto quando si parla di servizi così importanti come quelli messi a disposizione da Google. La maggior parte di quanto esposto nell’articolo è riassunto nella pagina ufficiale di Google all’indirizzo google.com/goodtoknow/online-safety/security-tools dove troverete inoltre ulteriori informazioni, e nel caso in cui aveste altri suggerimenti per includere altre voci beh, fatevi avanti nei commenti! :-)

Page 1 of 33712345»...Last »