Post on 17-Jul-2015
Ransomware e ricatti digitali
Come prevenirli e – ove possibile – rimediare senza perdere soldi o dati
Paolo Dal Checco Consulente Informatico Forense
Forum ICT Security 2015 15 Aprile 2015
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Chi sono
¡ Dottorato in Informatica, gruppo di Sicurezza, @unito
¡ Per alcuni anni ricerca e poi CTO in ambito crittografia
¡ Ora consulente Informatico Forense per Procure, Tribunali, Aziende e Privati in ambito penale e civile
¡ Co-titolare “Digital Forensics Bureau” di Torino
¡ Tra i fondatori della DEFT Association e Osservatorio Nazionale di Informatica Forense, sviluppatore DEFT Linux,
2
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
La (prei)storia (2012)
3
¡ Chi non ha avuto un amico o un parente che lo ha preso…
¡ Innocuo, non criptava
¡ Modificava registro o avvio
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Le cose si fanno più serie (2013) ¡ Da settembre 2013 compaiono diverse versioni che infettano PC
con Windows: CryptoLocker, SimpleLocker, CryptorBit, CryptoDefense, CryptoWall, TorrentLocker, CTB-Locker, TeslaCrypt, etc…
¡ Il trojan arriva via email, anche da mittenti conosciuti
¡ I documenti vengono criptati davvero, anche quelli in rete raggiungibili dal PC infettato, viene chiesto un riscatto in bitcoin (da 300 a 1.000 euro) che aumenta se non si paga subito
¡ Prime versioni con cifratura debole, con alcuni bachi e niente sovrascrittura reale dei file, col tempo queste “leggerezze” vengono colmate e il sistema irrobustito
¡ Alcune organizzazioni eseguono infezioni mirate e chiedono 10 volte tanto (episodi molto più rari)
4
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Le cose si fanno più serie (2013)
5
Fonte: Google Trends
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Cryptolocker (09/2013)
6
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Torrentlocker (9/2014)
Corriere della Sera, 11 novembre 2014
7
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
TorrentLocker (09/2014)
8
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
TorrentLocker (09/2014)
9
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
TorrentLocker (09/2014)
10
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
CTB-Locker (11/2014)
11
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
CTB-Locker (11/2014)
12
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Cryptolocker (12/2014)
13
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Cryptolocker (12/2014)
14
Pagina acceduta da un Mac
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
CryptoLocker (12/2014)
15
Pagina acceduta da un PC Windows
¡ Molte vittime soprattutto aziendali, abituate a ricevere spedizioni dei corrieri
¡ SDA ovviamente non è in alcun modo coinvolta
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
CryptoLocker (12/2014)
16
¡ I trojan usano Tor (sistema di connessione anonima)
¡ I domini che ospitano I C&C sono generati tramite algoritmi a tempo di esecuzione (DGA)
¡ Indirizzi Bitcoin diversi per ogni vittima
domini codificati
domini generati
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Crypt0L0cker (03/2015)
17
¡ I trojan si diffondono… via PEC!
¡ Usano URL shortener (es. Bit.ly) per arrivare al sito
¡ E usano il cloud per memorizzare il trojan (Dropbox, Copy)
http://meWkdS.l1.gs/bvs0Ba6b
http://sda-express.com/track.php?id=
https://copy.com/iEqABYCif17Gl9Hc/pacchetto_829302018.zip
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Crypt0L0cker (03/2015)
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Crypt0L0cker (03/15)
19
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Crypt0L0cker (03/15)
20
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Crypt0L0cker (03/15)
21
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Crypt0L0cker (03/15)
22
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Crypt0L0cker (03/15)
23
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Crypt0L0cker (03/15)
24
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Diffusione di Cryptolocker (dati parziali)
¡ 500.000 vittime di cui 1.3% hanno pagato il riscatto
25
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Diffusione di Torrentlocker (dati parziali)
26
Fonte: ESET
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Fonte del contagio
¡ Avvio di un programma contenuto in ZIP, PF, EXE, SCR, DOC, XLS
¡ Programma contenuto in: ¡ Allegato ad email che parla di fatture, rimborsi, note di credito,
spedizioni SDA, etc… anche proveniente da contatti noti
¡ Link alla mail
¡ Download da sito web di finto corriere il cui link è contenuto nell’email ricevuta
¡ Se non si apre l’allegato non si corrono rischi
27
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Come mai si diffonde così bene?
28
¡ Nessun antivirus lo rileva nelle prime ore di diffusione
¡ Tramite polimorfismo il trojan si modifica ad ogni ondata
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Come mai si diffonde così bene?
29
¡ Dopo un giorno…
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Come mai si diffonde così bene?
30
¡ Dopo una settimana…
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Prevenzione
¡ Backup (offline)
¡ Antivirus aggiornato (non basta)
¡ Firewall (bloccare domini noti, IP dei Command & Control, Tor)
¡ Mail filter (bloccare mail con allegati exe, pf, scr, etc…)
¡ Group policies o sistemi avanzati come CryptoPrevent (www.foolishit.com/ vb6-projects/cryptoprevent/)
31
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Prevenzione
¡ Ma anche “semplicemente” non aprire allegati anche provenienti da contatti noti se non prima verificandoli su: ¡ Microsoft Word/Excel Viewer (per file DOC/CLS con macro)
¡ http://www.pdfonlinereader.com o simili (per PDF)
¡ hybrid-analysis.com o malwr.com (ottime sandbox e analisi di rete)
¡ www.virustotal.com (56 antivirus)
¡ urlquery.net (analisi eventuali link a siti web o archivi zip)
32
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Reazione e rimozione
¡ In caso di cifratura di file in rete, identificare il PC contagiato
¡ Verificare se è già presente il file con la richiesta di riscatto ¡ “!Decrypt-All-Files-jgzfmim.bmp”, “DECRYPT_INSTRUCTIONS.html”,
“ISTRUZIONI_DECRITTAZIONE.html”
¡ Scollegare gli altri computer in rete ed eventualmente il PC infetto
¡ In base a come si intende procedere e se è terminata la cifratura
¡ Attenti con la rimozione di Cryptolocker: è la parte più “facile”, il problema è che i dati rimangono criptati
¡ Prima di spegnere il PC, acquisire la RAM tramite software free come FTK Imager (può essere utile in seguito)
¡ Dopo la rimozione/recupero, reinstallare tutto
¡ Cambiare credenziali memorizzate sul PC infettato
33
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Come riottenere i propri documenti
¡ Recupero da backup
¡ Recupero da Cloud (Dropbox/Gdrive, etc…)
¡ Tentare con le shadow copies (Shadow Explorer)
¡ Tentare con il carving (Photorec/recuva/R-Studio)
¡ Siti web www.decryptcryptolocker.com (OBSOLETO)
¡ Software di decryption Bleeping Computer (OBSOLETI)
¡ Cambiare Euro in BTC… :-/
34
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Chi c’è dietro?
35
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Chi c’è dietro?
36
http://www.fbi.gov/news/stories/2014/june/gameover-zeus-botnet-disrupted/documents/complaint
Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Bibliografia
¡ www.bleepingcomputer.com
¡ www.eset.com
¡ www.interno.gov.it
¡ www.fireeye.com
37