Eradicare al 100% ransomware per desktop Windows: il mio metodo [video]

zeMMeMMez · 04-09-2016, 19:01

Ho trovato qualche minuto per preparare un video per la mia ("mia" per modo di dire, sto mostrando l'acqua calda) ricetta anti-ransomware-tutto per client Windows.

Si tratta di un lavoro fatto col telefonino "a mano" e brutalmente montato quasi così com'è, quindi... abbiate pazienza

Inoltre ho un muletto che va e non va... insomma ci siamo capiti

In sostanza, come penso sarà noto, Windows (e perfino DOS!) sono in grado di avviarsi dalla rete, cioè con una configurazione priva di hard disk, mediante una scheda di rete opportuna (normalmente presente nei PC aziendali, come il muletto che ho usato) o alla peggio una chiavetta USB con dentro un programmello di avvio.

Operativamente l'hard disk C:\ viene "montato" da un dispositivo iSCSI che, in poche parole, è un "filettone" che contiene i dati veri e propri (in sostanza un hard disk virtuale), prelevati da un altro computer, che "magicamente" viene visto come un'unità vera (nota di colore: funziona perfettamente anche con XP, una volta installato il relativo aggiornamento).

Questo (target) iSCSI, nel mio esempio, è creato all'interno di una macchina Solaris, la quale dispone di un supporto zfs, ovvero un filesystem che può banalmente fare snapshot (in questa implementazione degli zvol, ma non complichiamo troppo), cioè "fotografie" dell'intero hard disk del client Windows.

Poi serve qualche "roba" al contorno (un server TFTP, o HTTP, o una scheda di rete flashabile - che però è praticamente solo del tipo per imprese), tralascio i particolari.

Per caricare i dati nel target usualmente adotto la strategia di preparare tutto quanto sulla macchina fisica (così essenzialmente sono sicuro ci siano i driver della scheda di rete!), monto il disco iSCSI, trasferisco il sistema lì sopra con una utility (io uso Paragon).
A quel punto smonto tutto et voilà la "virtualizzazione" dell'hard disk è compiuta.
---
Bene, al netto della rapidissima descrizione nel mio video faccio avviare Windows 8.1 da un miniPC Acer Veriton.
E fin qui nulla di che: in realtà viene utilizzato il file presente nel server Solaris come fosse il disco "C", la macchina non utilizza il disco locale.

Creo un file di testo sul desktop (per simulare il ransom, finalmente ne ho rimediato uno, ma non ho avuto voglia di usarlo...anche se è più coreografico!).

Poi faccio dal server Solaris lo snapshot, cioè una "fotografia" dell'hard disk virtuale in un certo momento, e gli dò il nome (preransom).

In realtà si programmano snapshot automatici (uno ogni 5 minuti, uno ogni ora, uno ogni giorno... e così via), ma non è questo il punto, fate finta di averlo visto

Bon, a questo punto cambio il file di testo e lo salvo, simulando la presenza del ransom che ha criptato tutto quanto (+ o -) e spengo il client brutalmente.

Sulla macchina Solaris "smonto" (unshare) lo zvol (in pratica mi riapproprio del disco virtuale in scrittura, per capirci).
Faccio un "rollback" allo snapshot preransom, e poi ri-sharo lo zvol (e quindi il target iscsi).
In pratica ho "spazzato via" tutte le modifiche fatte all'hard disk da quando ho fatto lo snapshot, ransom e monnezza varia compresa (notare il tempo necessario: pochi secondi anche con un cellulare in mano).

Riaccendo il muletto (ho lasciato il video del boot da network per avere un'idea di cosa succede, ovviamente si può dirgli di farlo automaticamente senza pietà, modificando i file di configurazione, ma sono pigro).

Cosa succederà mai? Ovviamente l'hard disk è tornato al punto precedente, cioè allo snapshot scelto, e il "ransom" è magicamente sparito.

---
Questa tecnica (ribadisco, non sto inventando nulla di nuovo), presenta degli effetti collaterali negativi, il principale del quale è la velocità della rete che si utilizza, che in ambito casareccio è tipicamente limitato a ~100MB/s.
Insomma, il PC fisico, nell'accesso al disco, è veloce ma non fulmineo (ovviamente dò per scontato di mettere il target su un sistema flash).

Nel "mondo normale" si va di 10Gbit e passa la paura.
Anzi, in certi casi particolari, oltre alla 10Gb si mette il target su un RAMdisk, in pratica per ottenere latenze minime, vabbè non è certo la situazione casalinga tipica, ma nulla vieta di farlo (con FreeBSD, con Solaris in realtà non ho mai provato).

Ovviamente poi parliamo di DUE macchine e non una (o meglio N+1).
Chiaramente se si hanno 20 PC accesi non è un problema averne 21 (anche perchè nel 99% dei casi il 21esimo sarà un virtualizzatore su cui gireranno tante belle cose, tra cui questa).
---
Chi ha consuetudine con le macchine virtuali intuirà immediatamente cosa significa poter fare "snapshot" a volontà di un intero disco C di Windows, va infatti precisato che il tempo necessario per uno snapshot è dell'ordine delle decine-centinaia di millisecondi (molto più veloce rispetto agli snapshot delle macchine virtuali), e "costano" pochissimo (in termini di spazio utilizzato).
---
Nota:la maggior parte dei NAS mette a disposizione target (esempio: QNAP di sicuro), ma la grande maggioranza NON ha un supporto snapshot fatto bene (zfs), ecco perchè nell'esempio non ho usato un NAS "linux".
Le ultime versioni del firmware QNAP hanno aggiunto "qualcosa" sotto questo profilo (snapshot LVM), ma francamente non lo ritengo all'altezza di zfs e quindi non ho approfondito.
---
Chi è ulteriormente curioso potrebbe chiedere: perchè allora non VDI?
(... adesso che mi sovviene... potrei pure fare il video tante-sessioni-rdp-su-windows-NON-server...)

La risposta è... per le porte USB, che soprattutto nel caso di token per firma digitale, semplicemente, non si possono usare in altro modo.

Lo scenario tipico di utilizzo sono aziende dove ci sono tanti utenti che non fanno quasi nulla, cioè navigano, leggono la posta, usano un qualche genere di gestionale e così via, per avere tempo 0 di deploy di nuovi client e pulizie da virus-ransom-aggiornamenti windows update e così via, oltre a insensibilità ai dipendenti infedeli (sì, va tenuto presente anche questa possibilità).

Un aspetto davvero caruccio degli zvol zfs di Solaris è che si possono comportare come una sorta di dischi thin (per chi mi capisce), anche su hardware fisico, sicchè si possono tenere tanti client su pochi hard disk, con dentro mirror, backup e chi più ne ha ne metta, centralizzati al 100%.

Lato-casareccio ci sono le schede video discrete, che ovviamente non esistono nel mondo VDI, e i ransom-virus-sticazzi.
---
Infine, qualcuno è interessato, potrei mettere anche la versione per server (ovviamente NON Windows), cioè come si "spazza via" un ransom che ha criptato un server condiviso con macchine Windows.
Anche qui sicuramente ci saranno millemila video youtube etc, contavo però di farlo con un vero ransom, magari è più carino.

Il video dovrebbe essere grosso modo visibile qui
Edit

04-09-2016, 19:01	#1
zeMMeMMez Bannato Iscritto dal: Aug 2016 Messaggi: 871	Eradicare al 100% ransomware per desktop Windows: il mio metodo [video] Ho trovato qualche minuto per preparare un video per la mia ("mia" per modo di dire, sto mostrando l'acqua calda) ricetta anti-ransomware-tutto per client Windows. Si tratta di un lavoro fatto col telefonino "a mano" e brutalmente montato quasi così com'è, quindi... abbiate pazienza Inoltre ho un muletto che va e non va... insomma ci siamo capiti In sostanza, come penso sarà noto, Windows (e perfino DOS!) sono in grado di avviarsi dalla rete, cioè con una configurazione priva di hard disk, mediante una scheda di rete opportuna (normalmente presente nei PC aziendali, come il muletto che ho usato) o alla peggio una chiavetta USB con dentro un programmello di avvio. Operativamente l'hard disk C:\ viene "montato" da un dispositivo iSCSI che, in poche parole, è un "filettone" che contiene i dati veri e propri (in sostanza un hard disk virtuale), prelevati da un altro computer, che "magicamente" viene visto come un'unità vera (nota di colore: funziona perfettamente anche con XP, una volta installato il relativo aggiornamento). Questo (target) iSCSI, nel mio esempio, è creato all'interno di una macchina Solaris, la quale dispone di un supporto zfs, ovvero un filesystem che può banalmente fare snapshot (in questa implementazione degli zvol, ma non complichiamo troppo), cioè "fotografie" dell'intero hard disk del client Windows. Poi serve qualche "roba" al contorno (un server TFTP, o HTTP, o una scheda di rete flashabile - che però è praticamente solo del tipo per imprese), tralascio i particolari. Per caricare i dati nel target usualmente adotto la strategia di preparare tutto quanto sulla macchina fisica (così essenzialmente sono sicuro ci siano i driver della scheda di rete!), monto il disco iSCSI, trasferisco il sistema lì sopra con una utility (io uso Paragon). A quel punto smonto tutto et voilà la "virtualizzazione" dell'hard disk è compiuta. --- Bene, al netto della rapidissima descrizione nel mio video faccio avviare Windows 8.1 da un miniPC Acer Veriton. E fin qui nulla di che: in realtà viene utilizzato il file presente nel server Solaris come fosse il disco "C", la macchina non utilizza il disco locale. Creo un file di testo sul desktop (per simulare il ransom, finalmente ne ho rimediato uno, ma non ho avuto voglia di usarlo...anche se è più coreografico!). Poi faccio dal server Solaris lo snapshot, cioè una "fotografia" dell'hard disk virtuale in un certo momento, e gli dò il nome (preransom). In realtà si programmano snapshot automatici (uno ogni 5 minuti, uno ogni ora, uno ogni giorno... e così via), ma non è questo il punto, fate finta di averlo visto Bon, a questo punto cambio il file di testo e lo salvo, simulando la presenza del ransom che ha criptato tutto quanto (+ o -) e spengo il client brutalmente. Sulla macchina Solaris "smonto" (unshare) lo zvol (in pratica mi riapproprio del disco virtuale in scrittura, per capirci). Faccio un "rollback" allo snapshot preransom, e poi ri-sharo lo zvol (e quindi il target iscsi). In pratica ho "spazzato via" tutte le modifiche fatte all'hard disk da quando ho fatto lo snapshot, ransom e monnezza varia compresa (notare il tempo necessario: pochi secondi anche con un cellulare in mano). Riaccendo il muletto (ho lasciato il video del boot da network per avere un'idea di cosa succede, ovviamente si può dirgli di farlo automaticamente senza pietà, modificando i file di configurazione, ma sono pigro). Cosa succederà mai? Ovviamente l'hard disk è tornato al punto precedente, cioè allo snapshot scelto, e il "ransom" è magicamente sparito. --- Questa tecnica (ribadisco, non sto inventando nulla di nuovo), presenta degli effetti collaterali negativi, il principale del quale è la velocità della rete che si utilizza, che in ambito casareccio è tipicamente limitato a ~100MB/s. Insomma, il PC fisico, nell'accesso al disco, è veloce ma non fulmineo (ovviamente dò per scontato di mettere il target su un sistema flash). Nel "mondo normale" si va di 10Gbit e passa la paura. Anzi, in certi casi particolari, oltre alla 10Gb si mette il target su un RAMdisk, in pratica per ottenere latenze minime, vabbè non è certo la situazione casalinga tipica, ma nulla vieta di farlo (con FreeBSD, con Solaris in realtà non ho mai provato). Ovviamente poi parliamo di DUE macchine e non una (o meglio N+1). Chiaramente se si hanno 20 PC accesi non è un problema averne 21 (anche perchè nel 99% dei casi il 21esimo sarà un virtualizzatore su cui gireranno tante belle cose, tra cui questa). --- Chi ha consuetudine con le macchine virtuali intuirà immediatamente cosa significa poter fare "snapshot" a volontà di un intero disco C di Windows, va infatti precisato che il tempo necessario per uno snapshot è dell'ordine delle decine-centinaia di millisecondi (molto più veloce rispetto agli snapshot delle macchine virtuali), e "costano" pochissimo (in termini di spazio utilizzato). --- Nota:la maggior parte dei NAS mette a disposizione target (esempio: QNAP di sicuro), ma la grande maggioranza NON ha un supporto snapshot fatto bene (zfs), ecco perchè nell'esempio non ho usato un NAS "linux". Le ultime versioni del firmware QNAP hanno aggiunto "qualcosa" sotto questo profilo (snapshot LVM), ma francamente non lo ritengo all'altezza di zfs e quindi non ho approfondito. --- Chi è ulteriormente curioso potrebbe chiedere: perchè allora non VDI? (... adesso che mi sovviene... potrei pure fare il video tante-sessioni-rdp-su-windows-NON-server...) La risposta è... per le porte USB, che soprattutto nel caso di token per firma digitale, semplicemente, non si possono usare in altro modo. Lo scenario tipico di utilizzo sono aziende dove ci sono tanti utenti che non fanno quasi nulla, cioè navigano, leggono la posta, usano un qualche genere di gestionale e così via, per avere tempo 0 di deploy di nuovi client e pulizie da virus-ransom-aggiornamenti windows update e così via, oltre a insensibilità ai dipendenti infedeli (sì, va tenuto presente anche questa possibilità). Un aspetto davvero caruccio degli zvol zfs di Solaris è che si possono comportare come una sorta di dischi thin (per chi mi capisce), anche su hardware fisico, sicchè si possono tenere tanti client su pochi hard disk, con dentro mirror, backup e chi più ne ha ne metta, centralizzati al 100%. Lato-casareccio ci sono le schede video discrete, che ovviamente non esistono nel mondo VDI, e i ransom-virus-sticazzi. --- Infine, qualcuno è interessato, potrei mettere anche la versione per server (ovviamente NON Windows), cioè come si "spazza via" un ransom che ha criptato un server condiviso con macchine Windows. Anche qui sicuramente ci saranno millemila video youtube etc, contavo però di farlo con un vero ransom, magari è più carino. Il video dovrebbe essere grosso modo visibile qui Edit Ultima modifica di Chill-Out : 05-09-2016 alle 16:08.

Strumenti
Mostra una versione stampabile Invia questa pagina per email