Visualizza messaggio singolo
Vecchio 08-07-2016, 00.32.38   #1
retalv
Forum supporter
WT Expert
 
L'avatar di retalv
 
Registrato: 13-03-2005
Loc.: Ultima stella a destra
Messaggi: 2.785
retalv è un gioiello raroretalv è un gioiello raroretalv è un gioiello raroretalv è un gioiello raro
Resoconto di un giorno di ordinaria follia (informatica)

Ero e rimango convinto che la vita sia troppo corta e fine a se stessa per essere presa troppo sul serio, malgrado le "incazzature" e tutto ciò che vorremmo fosse e che purtroppo non é.

In una notte da poco trascorsa penso di aver raggiunto uno dei miei massimi come "agevolatore autoimmune di sfiga" in campo hobbystico-informatico, quindi ridendomi addosso vado a raccontarla sperando di far ridere anche un po' chi leggerà...

La prima

Era da poco passata la mezzanotte quando, non sapendo come passare il tempo ("...ma se non sai che fare dormi, tromba... caxxo!!!") mi nasce un'idea a dir poco balzana.

Nel mio sistema Windows è sempre presente la classica installazione HOME & Student di Microsoft Office 2010 (regolarmente acquistata, a scanso di equivoci...), edizione che considerando il prezzo di acquisto (60€) e il fatto che non ha (praticamente) nulla da invidiare alla versione 2016, considero sia stato un buon acquisto.

Ho pensato ... "... ma ci sarà qualcuno che per risparmiare 60€ ci si è messo di impegno per crakkare l'attivazione della nuova versione?" ...

Apro il browser, digito le chiavi di ricerca apropriate ed ecco che in mezzo alla lista del warez trovo alcuni riferimenti ad un presunto crack per Office Home e Student 2016: apro il primo link e scarico un piccolo archivio di 2.3 mega di cui, per ovvie ragioni, non svelerò il link ma solo il nome "crack office 2016 microsoft office home and student 2016.rar".

Bene... ora ho il file ma non sono tanto rimbambito da eseguirlo sul sistema reale quindi avvio un sistema Windows7 virtualizzato con Oracle Virtualbox v4.3.38: da quì importo l'archivio tramite la condivisione al disco di lavoro e lo scompatto.
Copiata e aperta la cartella nel desktop del sistema virtualizzato, trovo al suo interno due files: il primo è un semplice testo di quella che, se non analizzata attentamente, sembra essere una chiave di installazione, che a posteriori è ovviamente troppo corta per essere una vera installation key (xxx-xxx-xxx-xxx contro il camonico XXXXX-XXXXX-XXXXX-XXXX-XXXXX Microsoft), mentre il secondo è un piccolo eseguibile con nome "Setup.exe" che poteva servire per l'attivazione offline di Office.

Quando dico che sono un "pistola" è perché vado a mettere il naso in cose che nemmeno dovrei guardare e che oltretutto non mi servono: con queste premesse, posso io non clikkare su Setup.exe ??! Ma certo che posso!

Appena lanciato l'eseguibile lo stesso va in errore (o fà finta di), con un laconico messaggio (a quanto ricordi) di errore js relativo allo scripthost ... ma persulserio... vuoi non tornare a lanciare l'eseguibile per capire bene quello che avresti dovuto capire prima di fare questa cavolata? Certo che si!
Rilanciato l'eseguibile ottengo lo stesso laconico messaggio.

Mi cade l'occhio ("...le mani ti devono cadere... ma con tutte le dita attaccate!") su un nuovo file creatosi dal nome poco fantasioso "HOW TO DECRYPT FILES.txt" con data 21/11/2010 04:24 (!): editato il file di testo il forte dubbio ha avuto la sua conferma...

Codice:
Your UID paXXXXXXX
All files encrypted with AES algorithm!
Send to email decrypted8@yandex.ru or decrypted8@tuta.io
your UID and country of residence.
For free decrypt you can send a 3 small encrypted files.
E tuttedentratto il coro... crypto-ransomware (le X di "paXXXXXXX" erano caratteri numerici e il suddetto file viene creato in modo esaustivo in ogni sotto cartella (anche vuota) partendo dalla root del disco)!

Essendo stato eseguito in virtuale non ha avuto modo di infettare il sistema operativo reale (servizi e\o librerie) ma avendo accesso alla condivisione del disco lì ha compiuto il suo sporco lavoro di codifica AES, rinominando i files crittografati con estensione .paXXXXXXX ma il "simpatico" è che codifica solo una cerchia di documenti selezionati (.doc et similia, .pdf, .xls, .txt ecc.) e archivi compressi (.zip, .rar, .7z ecc.) sena però toccare gli eseguibili, probabilmente per non rendere mal funzionante il sistema, cosa che con buona aprossimazione porterebbe l'utente direttamente alla reinstallazione del sistema senza alcun pagamento di riscatto.

Personalmente non ho avuto nessuna perdita di dati per pochi semplici motivi: faccio abbastanza regolarmente il backup dei dati su un array esterno (RAID5) mantenendolo offline se inutilizzato e sincronizzo il disco di lavoro (quello condiviso) su un altro disco in linea gestendo le versioni dei files modificati con SyncFolders, free (non utilizzo le vecchie versioni provenienti dai backup e dal ripristino di Windows, non uso ne backup di windows ne ripristino, il periodo di latenza sarebbe troppo lungo per i miei gusti...).

Considerando l'accaduto riconfigurerò il sistema virtuale o cambiando versione di Virtualbox (attualmente la v5.0.24) in modo da importare files in test nel sistema virtuale senza dover utilizzare le cartelle condivise, oppure sposterò il sistema di test su VMware dove il trascina_e_rilascia funziona egregiamente da parecchi anni.
In ogni caso il sistema virtuale (guest) dovrà risultare totalmente isolato dal sistema reale (host).
retalv non è collegato   Rispondi citando