Cryptolocker, ransomware e ricatti digitali

Ransomware e
ricatti digitali
Come prevenirli e – ove possibile – rimediare
senza perdere soldi o dati
Paolo Dal Checco
Consulente Informatico Forense
Forum ICT Security 2015
15 Aprile 2015

Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Chi sono
¡  Dottorato in Informatica, gruppo di Sicurezza, @unito
¡  Per alcuni anni ricerca e poi CTO in ambito crittografia
¡  Ora consulente Informatico Forense per Procure, Tribunali,
Aziende e Privati in ambito penale e civile
¡  Co-titolare “Digital Forensics Bureau” di Torino
¡  Tra i fondatori della DEFT Association e Osservatorio Nazionale di
Informatica Forense, sviluppatore DEFT Linux,
2

La (prei)storia (2012)
3
¡  Chi non ha
avuto un
amico o un
parente
che lo ha
preso…
¡  Innocuo,
non
criptava
¡  Modificava
registro o
avvio

Le cose si fanno più serie (2013)
¡  Da settembre 2013 compaiono diverse versioni che infettano PC
con Windows: CryptoLocker, SimpleLocker, CryptorBit,
CryptoDefense, CryptoWall, TorrentLocker, CTB-Locker, TeslaCrypt,
etc…
¡  Il trojan arriva via email, anche da mittenti conosciuti
¡  I documenti vengono criptati davvero, anche quelli in rete
raggiungibili dal PC infettato, viene chiesto un riscatto in bitcoin
(da 300 a 1.000 euro) che aumenta se non si paga subito
¡  Prime versioni con cifratura debole, con alcuni bachi e niente
sovrascrittura reale dei file, col tempo queste “leggerezze”
vengono colmate e il sistema irrobustito
¡  Alcune organizzazioni eseguono infezioni mirate e chiedono 10
volte tanto (episodi molto più rari)
4

Le cose si fanno più serie (2013)
5
Fonte: Google Trends

Cryptolocker (09/2013)
6

Torrentlocker (9/2014)
Corriere della Sera, 11 novembre 2014
7

TorrentLocker (09/2014)
8

9

10

CTB-Locker (11/2014)
11

CTB-Locker (11/2014)
12

13

14
Pagina acceduta da un Mac

CryptoLocker (12/2014)
15
Pagina acceduta da un PC Windows
¡  Molte vittime
soprattutto
aziendali, abituate
a ricevere
spedizioni dei
corrieri
¡  SDA ovviamente
non è in alcun
modo coinvolta

CryptoLocker (12/2014)
16
¡  I trojan usano Tor
(sistema di
connessione
anonima)
¡  I domini che
ospitano I C&C
sono generati
tramite algoritmi a
tempo di
esecuzione (DGA)
¡  Indirizzi Bitcoin
diversi per ogni
vittima
domini codificati
domini generati

Crypt0L0cker (03/2015)
17
¡  I trojan si diffondono…
via PEC!
¡  Usano URL shortener (es.
Bit.ly) per arrivare al sito
¡  E usano il cloud per
memorizzare il trojan
(Dropbox, Copy)
http://meWkdS.l1.gs/bvs0Ba6b
http://sda-express.com/track.php?id=
https://copy.com/iEqABYCif17Gl9Hc/pacchetto_829302018.zip

19

20

21

22

23

24

Diffusione di Cryptolocker (dati parziali)
¡  500.000 vittime di cui 1.3% hanno pagato il riscatto
25

Diffusione di Torrentlocker (dati parziali)
26
Fonte: ESET

Fonte del contagio
¡  Avvio di un programma contenuto in ZIP, PF, EXE, SCR, DOC, XLS
¡  Programma contenuto in:
¡  Allegato ad email che parla di fatture, rimborsi, note di credito,
spedizioni SDA, etc… anche proveniente da contatti noti
¡  Link alla mail
¡  Download da sito web di finto corriere il cui link è contenuto
nell’email ricevuta
¡  Se non si apre l’allegato non si corrono rischi
27

Come mai si diffonde così bene?
28
¡  Nessun antivirus lo
rileva nelle prime
ore di diffusione
¡  Tramite
polimorfismo il
trojan si modifica
ad ogni ondata

29
¡  Dopo un giorno…

30
¡  Dopo una
settimana…

Prevenzione
¡  Backup (offline)
¡  Antivirus aggiornato (non basta)
¡  Firewall (bloccare domini noti, IP dei Command & Control, Tor)
¡  Mail filter (bloccare mail con
allegati exe, pf, scr, etc…)
¡  Group policies o sistemi avanzati
come CryptoPrevent
(www.foolishit.com/
vb6-projects/cryptoprevent/)
31

Prevenzione
¡  Ma anche “semplicemente” non aprire allegati anche
provenienti da contatti noti se non prima verificandoli su:
¡  Microsoft Word/Excel Viewer (per file DOC/CLS con macro)
¡  http://www.pdfonlinereader.com o simili (per PDF)
¡  hybrid-analysis.com o malwr.com (ottime sandbox e analisi di rete)
¡  www.virustotal.com (56 antivirus)
¡  urlquery.net (analisi eventuali link a siti web o archivi zip)
32

Reazione e rimozione
¡  In caso di cifratura di file in rete, identificare il PC contagiato
¡  Verificare se è già presente il file con la richiesta di riscatto
¡  “!Decrypt-All-Files-jgzfmim.bmp”, “DECRYPT_INSTRUCTIONS.html”,
“ISTRUZIONI_DECRITTAZIONE.html”
¡  Scollegare gli altri computer in rete ed eventualmente il PC infetto
¡  In base a come si intende procedere e se è terminata la cifratura
¡  Attenti con la rimozione di Cryptolocker: è la parte più “facile”, il problema
è che i dati rimangono criptati
¡  Prima di spegnere il PC, acquisire la RAM tramite software free come FTK
Imager (può essere utile in seguito)
¡  Dopo la rimozione/recupero, reinstallare tutto
¡  Cambiare credenziali memorizzate sul PC infettato
33

Come riottenere i propri documenti
¡  Recupero da backup
¡  Recupero da Cloud (Dropbox/Gdrive, etc…)
¡  Tentare con le shadow copies (Shadow Explorer)
¡  Tentare con il carving (Photorec/recuva/R-Studio)
¡  Siti web www.decryptcryptolocker.com (OBSOLETO)
¡  Software di decryption Bleeping Computer (OBSOLETI)
¡  Cambiare Euro in BTC… :-/
34

Chi c’è dietro?
35

Chi c’è dietro?
36
http://www.fbi.gov/news/stories/2014/june/gameover-zeus-botnet-disrupted/documents/complaint

Bibliografia
¡  www.bleepingcomputer.com
¡  www.eset.com
¡  www.interno.gov.it
¡  www.fireeye.com
37

Cryptolocker, ransomware e ricatti digitali

More Related Content

What's hot

Viewers also liked

Similar to Cryptolocker, ransomware e ricatti digitali

More from dalchecco

Cryptolocker, ransomware e ricatti digitali