cryptolocker, ransomware e ricatti digitali

Ransomware e ricatti digitali

Come prevenirli e – ove possibile – rimediare senza perdere soldi o dati

Paolo Dal Checco Consulente Informatico Forense

Forum ICT Security 2015 15 Aprile 2015

Milano, 15 aprile 2015

Paolo Dal Checco Ransomware e ricatti digitali

Chi sono

¡ Dottorato in Informatica, gruppo di Sicurezza, @unito

¡  Per alcuni anni ricerca e poi CTO in ambito crittografia

¡ Ora consulente Informatico Forense per Procure, Tribunali, Aziende e Privati in ambito penale e civile

¡ Co-titolare “Digital Forensics Bureau” di Torino

¡  Tra i fondatori della DEFT Association e Osservatorio Nazionale di Informatica Forense, sviluppatore DEFT Linux,

2



La (prei)storia (2012)

3

¡ Chi non ha avuto un amico o un parente che lo ha preso…

¡  Innocuo, non criptava

¡ Modificava registro o avvio



Le cose si fanno più serie (2013) ¡  Da settembre 2013 compaiono diverse versioni che infettano PC

con Windows: CryptoLocker, SimpleLocker, CryptorBit, CryptoDefense, CryptoWall, TorrentLocker, CTB-Locker, TeslaCrypt, etc…

¡  Il trojan arriva via email, anche da mittenti conosciuti

¡  I documenti vengono criptati davvero, anche quelli in rete raggiungibili dal PC infettato, viene chiesto un riscatto in bitcoin (da 300 a 1.000 euro) che aumenta se non si paga subito

¡  Prime versioni con cifratura debole, con alcuni bachi e niente sovrascrittura reale dei file, col tempo queste “leggerezze” vengono colmate e il sistema irrobustito

¡  Alcune organizzazioni eseguono infezioni mirate e chiedono 10 volte tanto (episodi molto più rari)

4



Le cose si fanno più serie (2013)

5

Fonte: Google Trends



Cryptolocker (09/2013)

6



Torrentlocker (9/2014)

Corriere della Sera, 11 novembre 2014

7



TorrentLocker (09/2014)

8




9




10



CTB-Locker (11/2014)

11



CTB-Locker (11/2014)

12




13




14

Pagina acceduta da un Mac



CryptoLocker (12/2014)

15

Pagina acceduta da un PC Windows

¡ Molte vittime soprattutto aziendali, abituate a ricevere spedizioni dei corrieri

¡  SDA ovviamente non è in alcun modo coinvolta



CryptoLocker (12/2014)

16

¡  I trojan usano Tor (sistema di connessione anonima)

¡  I domini che ospitano I C&C sono generati tramite algoritmi a tempo di esecuzione (DGA)

¡  Indirizzi Bitcoin diversi per ogni vittima

domini codificati

domini generati



Crypt0L0cker (03/2015)

17

¡  I trojan si diffondono… via PEC!

¡  Usano URL shortener (es. Bit.ly) per arrivare al sito

¡  E usano il cloud per memorizzare il trojan (Dropbox, Copy)

http://meWkdS.l1.gs/bvs0Ba6b

http://sda-express.com/track.php?id=

https://copy.com/iEqABYCif17Gl9Hc/pacchetto_829302018.zip




19




20




21




22




23




24



Diffusione di Cryptolocker (dati parziali)

¡  500.000 vittime di cui 1.3% hanno pagato il riscatto

25



Diffusione di Torrentlocker (dati parziali)

26

Fonte: ESET



Fonte del contagio

¡ Avvio di un programma contenuto in ZIP, PF, EXE, SCR, DOC, XLS

¡  Programma contenuto in: ¡  Allegato ad email che parla di fatture, rimborsi, note di credito,

spedizioni SDA, etc… anche proveniente da contatti noti

¡  Link alla mail

¡  Download da sito web di finto corriere il cui link è contenuto nell’email ricevuta

¡  Se non si apre l’allegato non si corrono rischi

27



Come mai si diffonde così bene?

28

¡ Nessun antivirus lo rileva nelle prime ore di diffusione

¡  Tramite polimorfismo il trojan si modifica ad ogni ondata




29

¡ Dopo un giorno…




30

¡ Dopo una settimana…



Prevenzione

¡  Backup (offline)

¡ Antivirus aggiornato (non basta)

¡  Firewall (bloccare domini noti, IP dei Command & Control, Tor)

¡ Mail filter (bloccare mail con allegati exe, pf, scr, etc…)

¡ Group policies o sistemi avanzati come CryptoPrevent (www.foolishit.com/ vb6-projects/cryptoprevent/)

31



Prevenzione

¡ Ma anche “semplicemente” non aprire allegati anche provenienti da contatti noti se non prima verificandoli su: ¡  Microsoft Word/Excel Viewer (per file DOC/CLS con macro)

¡  http://www.pdfonlinereader.com o simili (per PDF)

¡  hybrid-analysis.com o malwr.com (ottime sandbox e analisi di rete)

¡  www.virustotal.com (56 antivirus)

¡  urlquery.net (analisi eventuali link a siti web o archivi zip)

32



Reazione e rimozione

¡  In caso di cifratura di file in rete, identificare il PC contagiato

¡  Verificare se è già presente il file con la richiesta di riscatto ¡  “!Decrypt-All-Files-jgzfmim.bmp”, “DECRYPT_INSTRUCTIONS.html”,

“ISTRUZIONI_DECRITTAZIONE.html”

¡  Scollegare gli altri computer in rete ed eventualmente il PC infetto

¡  In base a come si intende procedere e se è terminata la cifratura

¡  Attenti con la rimozione di Cryptolocker: è la parte più “facile”, il problema è che i dati rimangono criptati

¡  Prima di spegnere il PC, acquisire la RAM tramite software free come FTK Imager (può essere utile in seguito)

¡  Dopo la rimozione/recupero, reinstallare tutto

¡  Cambiare credenziali memorizzate sul PC infettato

33



Come riottenere i propri documenti

¡  Recupero da backup

¡  Recupero da Cloud (Dropbox/Gdrive, etc…)

¡  Tentare con le shadow copies (Shadow Explorer)

¡  Tentare con il carving (Photorec/recuva/R-Studio)

¡  Siti web www.decryptcryptolocker.com (OBSOLETO)

¡  Software di decryption Bleeping Computer (OBSOLETI)

¡ Cambiare Euro in BTC… :-/

34



Chi c’è dietro?

35



Chi c’è dietro?

36

http://www.fbi.gov/news/stories/2014/june/gameover-zeus-botnet-disrupted/documents/complaint



Bibliografia

¡ www.bleepingcomputer.com

¡ www.eset.com

¡ www.interno.gov.it

¡ www.fireeye.com

37

cryptolocker, ransomware e ricatti digitali

Technology