Il workshop ha come obiettivo quello di presentare lo stato dell’arte dei Crypto-Malware/Ransomware che crittografano i file di dati di PC e SERVER e ne richiedono il riscatto.
Sarà effettuata una panoramica sulle principali famiglie/tipologie di Crypto-Malware che tra il 2015 e l’inizio del 2016 si sono diffuse maggiormente in Italia andando ad analizzare le modalità di attacco e i danni causati.
Verranno presentati i comportamenti adatti ad evitare l’infezione e/o contrastare efficacemente la cifratura dei file.
Si procederà poi a simulare un attacco reale da Crypto-Malware mostrando gli effetti su PC privo di sistema di protezione in grado di segnalare l’attacco e, di seguito, a fronte dello stesso attacco, su PC / SERVER sui quali sia presente un sistema di protezione euristico-comportamentale in grado di segnalarne e mitigarne gli effetti anche da varianti di nuova generazione quindi non ancora identificabili con i metodi di intercettazione classici.
La conferenza ha come obiettivo quello di presentare al pubblico lo stato dell’arte dei Crypto-Malware che crittografano i file di dati di PC e SERVER e ne richiedono un riscatto.
Verrà effettuata una panoramica sulla principali famiglie/tipologie di Crypto-Malware che tra il 2015 e l’inizio del 2016 si sono diffusi maggiormente in Italia andando ad analizzare le modalità di diffusione e i danni che hanno provocato.
Verranno presentati i comportamenti adatti ad evitare l’infezione e/o a contrastarla efficacemente.
Si procederà poi a simulare un attacco reale da Crypto-Malware e su cosa accade se il PC non ha un sistema di protezione in grado di segnalare l’attacco e, di seguito a fronte dello stesso attacco cosa sarebbe accaduto se sul PC / SERVER fosse presente un sistema di protezione euristico-comportamentale in grado, quindi, di segnalare e mitigare gli effetti dell’attacco anche da varianti di nuova generazione quindi non ancora identificabili con il metodo delle firme.
abstract:
Panoramica del mondo dei router SoHo dei principali provider Italiani alla scoperta delle loro vulnerabilità,dagli attacchi per ottenere l'accesso alla rete wireless a quelli per reindirizzare il traffico internet e/o modificare la configurazione del router. Analizzeremo poi l'alternativa opensource OpenWrt e le sue potenzialità.
bio:
Raffaele Sommese appassionato di reti e sicurezza informatica,partecipa negli anni ad alcune analisi di sicurezza su router SoHo.Nella vita studia Ingegneria Informatica alla Federico II, ama viaggiare (in treno),è membro del NaLug dal 2009 e si diletta come Sistemista a "tempo perso".
Quello di venerdì 12 Maggio 2017 è stato definito il cyberattacco più esteso, un attacco globale senza precedenti che ha interessato tantissime organizzazioni e aziende sparse in diversi Paesi del mondo. Tra le vittime dei Paesi colpiti figura anche l'Italia. Nel corso del talk si vuole illustrare come il CERT-PA (Computer Emergency Response Team) della Pubblica Amministrazione italiana ha affrontato il venerdì nero e i giorni a seguire il cyberattacco per gestire e contrastare tempestivamente la minaccia. Un tuffo dentro WannaCry per comprendere i dettagli tecnici, la genesi, le evoluzioni del malware e l'importanza della cooperazione informatica tra CERT italiani, europei e ricercatori indipendenti.
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
Slide di presentazione del progetto Programma Il Futuro (http://www.programmailfuturo.it) che mi ha visto come progettista del software in cooperazione con Marco Ferrigno che ha curato l'infrastruttura di rete.
Il progetto, ideato dal prof. Giorgio Ventre (Univ. "Federico II" di Napoli) ed il prof. Enrico Nardelli (Univ. di Roma "Tor Vergata") per il CINI (Consorzio Interuniversitario Nazionale per l'Informatica) ed il MIUR (Ministero dell'Istruzione, Università e Ricerca), fa parte de "La Buona Scuola", iniziativa promossa dal Ministro Giannini, in collegamento con il progetto internazionale Code.org tra i cui testimonial Barak Obama.
Il portale, che è il primo ad integrare la crittografia frattale FNA che ho sviluppato, ha come cuore il sistema di registrazione con profilazione capillare - a nodi - degli utenti, ed il bridge di comunicazione (un hack) verso il sistema di registrazione di code.org e di hourofcode.com.
Nelle slides i link ipertestuali verso pastebin.com dove sono riportate alcune parti del codice crittografico e del bridge in Perl.
La conferenza ha come obiettivo quello di presentare al pubblico lo stato dell’arte dei Crypto-Malware che crittografano i file di dati di PC e SERVER e ne richiedono un riscatto.
Verrà effettuata una panoramica sulla principali famiglie/tipologie di Crypto-Malware che tra il 2015 e l’inizio del 2016 si sono diffusi maggiormente in Italia andando ad analizzare le modalità di diffusione e i danni che hanno provocato.
Verranno presentati i comportamenti adatti ad evitare l’infezione e/o a contrastarla efficacemente.
Si procederà poi a simulare un attacco reale da Crypto-Malware e su cosa accade se il PC non ha un sistema di protezione in grado di segnalare l’attacco e, di seguito a fronte dello stesso attacco cosa sarebbe accaduto se sul PC / SERVER fosse presente un sistema di protezione euristico-comportamentale in grado, quindi, di segnalare e mitigare gli effetti dell’attacco anche da varianti di nuova generazione quindi non ancora identificabili con il metodo delle firme.
abstract:
Panoramica del mondo dei router SoHo dei principali provider Italiani alla scoperta delle loro vulnerabilità,dagli attacchi per ottenere l'accesso alla rete wireless a quelli per reindirizzare il traffico internet e/o modificare la configurazione del router. Analizzeremo poi l'alternativa opensource OpenWrt e le sue potenzialità.
bio:
Raffaele Sommese appassionato di reti e sicurezza informatica,partecipa negli anni ad alcune analisi di sicurezza su router SoHo.Nella vita studia Ingegneria Informatica alla Federico II, ama viaggiare (in treno),è membro del NaLug dal 2009 e si diletta come Sistemista a "tempo perso".
Quello di venerdì 12 Maggio 2017 è stato definito il cyberattacco più esteso, un attacco globale senza precedenti che ha interessato tantissime organizzazioni e aziende sparse in diversi Paesi del mondo. Tra le vittime dei Paesi colpiti figura anche l'Italia. Nel corso del talk si vuole illustrare come il CERT-PA (Computer Emergency Response Team) della Pubblica Amministrazione italiana ha affrontato il venerdì nero e i giorni a seguire il cyberattacco per gestire e contrastare tempestivamente la minaccia. Un tuffo dentro WannaCry per comprendere i dettagli tecnici, la genesi, le evoluzioni del malware e l'importanza della cooperazione informatica tra CERT italiani, europei e ricercatori indipendenti.
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
Slide di presentazione del progetto Programma Il Futuro (http://www.programmailfuturo.it) che mi ha visto come progettista del software in cooperazione con Marco Ferrigno che ha curato l'infrastruttura di rete.
Il progetto, ideato dal prof. Giorgio Ventre (Univ. "Federico II" di Napoli) ed il prof. Enrico Nardelli (Univ. di Roma "Tor Vergata") per il CINI (Consorzio Interuniversitario Nazionale per l'Informatica) ed il MIUR (Ministero dell'Istruzione, Università e Ricerca), fa parte de "La Buona Scuola", iniziativa promossa dal Ministro Giannini, in collegamento con il progetto internazionale Code.org tra i cui testimonial Barak Obama.
Il portale, che è il primo ad integrare la crittografia frattale FNA che ho sviluppato, ha come cuore il sistema di registrazione con profilazione capillare - a nodi - degli utenti, ed il bridge di comunicazione (un hack) verso il sistema di registrazione di code.org e di hourofcode.com.
Nelle slides i link ipertestuali verso pastebin.com dove sono riportate alcune parti del codice crittografico e del bridge in Perl.
Seqrite Terminator: quello che un tempo era solo un Firewall, si è ora evoluto in un’Appliance UTM che fornisce molte funzionalità di sicurezza, tutto tramite una sola Console.
Scopriamole, affinchè la rete aziendale sia sempre protetta e al sicuro!
Throughout human history, natural disasters have played a major role in the economic development and survival of humanity. The economic cost associated with all natural disasters has increased 14 fold since the 1950s. Agricultural production is highly dependent on weather, climate and water availability, and is adversely affected by weather- and climate related disasters.
Checkmate to crypto malware. Scacco matto ai crypto malwareGianfranco Tonello
How defeat the crypto-malware as CryptoLocker, CryptoWall, CTBLocker, TeslaCrypt and CryptoLocky. In this presentation we shows as VirIT can block the process of crypto-malware, while the malware is encrypting the file of documents and we can save the files that remain. You can see the video of youtube: https://youtu.be/_SyKqqZu6-8
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...Antonio Musarra
In questo eBook sarà affrontato un argomento legato alla sicurezza che riguarda il come rendere sicure le connessioni HTTP attraverso il protocollo SSL/TLS (da ora in avanti TLS). Questo aspetto di sicurezza non è strettamente legato a Liferay, infatti non esiste nessun riferimento sulla LDN, riguarda invece l’infrastruttura dove il portale Liferay è collocato.
Il percorso che seguiremo nel corso di questo eBook per raggiungere il nostro obiettivo, sarà così organizzato:
1. Gestione dei certificati
2. Configurazione del protocollo TLS
3. Configurazione del portale Liferay (sia Apache Tomcat sia WildFly)
Cosa dobbiamo ancora capire sui containers?
Sicurezza: Cosa cambia, Come mi adeguo e Dove mi Fermo?
Attacchi:un esempio pratico di resilienza delle architetture a Containers
Seqrite Terminator: quello che un tempo era solo un Firewall, si è ora evoluto in un’Appliance UTM che fornisce molte funzionalità di sicurezza, tutto tramite una sola Console.
Scopriamole, affinchè la rete aziendale sia sempre protetta e al sicuro!
Throughout human history, natural disasters have played a major role in the economic development and survival of humanity. The economic cost associated with all natural disasters has increased 14 fold since the 1950s. Agricultural production is highly dependent on weather, climate and water availability, and is adversely affected by weather- and climate related disasters.
Checkmate to crypto malware. Scacco matto ai crypto malwareGianfranco Tonello
How defeat the crypto-malware as CryptoLocker, CryptoWall, CTBLocker, TeslaCrypt and CryptoLocky. In this presentation we shows as VirIT can block the process of crypto-malware, while the malware is encrypting the file of documents and we can save the files that remain. You can see the video of youtube: https://youtu.be/_SyKqqZu6-8
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...Antonio Musarra
In questo eBook sarà affrontato un argomento legato alla sicurezza che riguarda il come rendere sicure le connessioni HTTP attraverso il protocollo SSL/TLS (da ora in avanti TLS). Questo aspetto di sicurezza non è strettamente legato a Liferay, infatti non esiste nessun riferimento sulla LDN, riguarda invece l’infrastruttura dove il portale Liferay è collocato.
Il percorso che seguiremo nel corso di questo eBook per raggiungere il nostro obiettivo, sarà così organizzato:
1. Gestione dei certificati
2. Configurazione del protocollo TLS
3. Configurazione del portale Liferay (sia Apache Tomcat sia WildFly)
Cosa dobbiamo ancora capire sui containers?
Sicurezza: Cosa cambia, Come mi adeguo e Dove mi Fermo?
Attacchi:un esempio pratico di resilienza delle architetture a Containers
Cryptolocker, ransomware e ricatti digitali dalchecco
A partire dal settembre 2013 si diffondono via email diverse versioni di malware definiti ransomware che infettano computer sui quali è installato Windows e chiedono un riscatto in bitcoin per riavere i propri documenti. Hanno nomi diversi - CryptoLocker, SimpleLocker, CryptorBit, CryptoDefense, CryptoWall, TorrentLocker, CTB-Locker, TeslaCrypt - ma comportamento simile. Con il tempo è stata ridotta la possibilità di ottenere i propri file senza pagare il riscatto in bitcoin ed è stato migliorato il metodo di pagamento che diventa più agevole ma anche meno tracciabile. Nelle slide viene presentata la storia di Cryptolocker, fornite informazioni sul contagio, prevenzione, rimozione del trojan e informazioni su cui si ritiene sia alla base di queste vere e proprie macchine per fare soldi.
Diverse sono i benefici che le aziende possono ottenere spostando applicazioni e dati nel Cloud: dalla scalabilità, all'agilità, alla riduzione dei costi.
Tuttavia, ai potenziali vantaggi sono associati anche nuovi rischi. Una dimostrazione di ciò giunge anche da un survey condotto da HP nel novembre 2013 (HP Cloud-public cloud security research) che ha messo in luce come il 16 per cento delle aziende intervistate presenti sul Cloud abbia riportato almeno una violazione del cloud pubblico negli ultimi 12 mesi.
In Aziende medio grandi, con centinaia di postazioni di lavoro, dispositivi mobile e server in cloud e on premises, la Digital Forensics e soprattutto l’approccio DFIR sono strumenti fondamentali per gestire in efficienza ed efficacia situazioni di incident handling come data breach o violazione dei sistemi, ma anche per la gestione di indagini e investigazioni informatiche aziendali per la tutela del patrimonio aziendale: proprietà intellettuale, protezione dati, dipendenti infedeli, furti di informazioni riservate; inoltre processi e strumenti della DF e della DFIR possono essere usati proficuamente per Audit di sicurezza in ambito ISO, Dlgs 231/01, GDPR, COBIT, etc.. garantendo una raccolta delle prove di tipo "forense".
Velociraptor e AWX Ansible due strumenti open molto diversi che si usano in ambito corporate per eseguire indagini informatiche e raccogliere prove su larga scala con modalità forensi.
Come recuperare file crittografati da diversi dispositivi [2022].pdfHelpRansomware
La crittografia è un metodo utilizzato per proteggere i file, in modo da evitare che chiunque possa accedervi, anche senza una chiave di
accesso o password.
Questi file possono essere attaccati da diversi tipi di virus, che ne
mettono a rischio le informazioni, come avviene con il temutissimo
ransomware.
In questo seminario ho simulato un Penetration Test completo partendo dalla fase di raccolta delle informazioni fino ad arrivare alla fase in cui l'attaccante penetra nel sistema e installa una backdoor per rafforzare la propria presenza nel sistema violato.
Durante ogni singola fase mi sono fermato a parlare di essa portando esempi sia teorici che demo pratiche.
Questo seminario nasce con lo scopo di appassionare i ragazzi e soprattutto far conoscere ad essi il mondo della sicurezza informatica rivolta ai test di penetrazione. Questo seminario nasce dall'invito che ho ricevuto da parte dell'istituto G.B. Vaccarini, essendo io stesso, un loro ex studente.
BSides 2018 Rome - Presentation about Bootkit and Pitou
Review of the basic concepts of Disk, Int 13h and Windows Boot process
Evolution of Bootkits
Techniques of infections used by Bootkits
Analysis of Pitou
Load of Driver on Windows XP 32 bit
Load of Driver on Windows 10 64 bit
Driver 32 bit
Conclusion
Tutto quello che avreste voluto sapere sui malware androidGianfranco Tonello
Presentazione dell'architettura di Android:
Dalvik Virtual Machine;
APK: Android PacKage;
Google Play Store e third-party market;
Principali differenze con Microsoft Windows.
Panoramica delle tipologie di malware Android™
Le metodologie di infezione principali, tra cui:
Drive-by Download e le librerie ad malevole;
Repackaging, Android "Master Key" Vulnerability e Update;
Social Engineering e ToS malandrini;
Custom ROM malevole.
Come difendersi, dalla prevenzione dai malware conosciuti a quelli non ancora noti.
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...Gianfranco Tonello
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione alle tecniche di difesa
Venezia, 3 ottobre 2014
Architettura Android
· Tipologie e esempi di malware
· Tecnica del Repackaging
· Advertisement in Android
· Test sul market Google Play
· Strumenti di difesa: antivirus e tool diagnostici
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Gianfranco Tonello
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende
Milano, 23 ottobre 2013
Questo workshop ha carattere tecnico-divulgativo ed ha come obiettivo quello di presentare al pubblico le modalità di attacco di alcune delle più diffuse tipologie di virus-malware progettati per carpire le credenziali di accesso all’on-line banking effettuato dai computer infetti.
Verranno presentate le varie tattiche di aggancio al browser attraverso le quali questi agenti malware sono in grado di rubare le credenziali di accesso agli ignari utenti o dirottare, a loro favore, pagamenti reali effettuati operativamente dall’utente legittimo.
1. Presentazione dei principali agenti malware realizzati con l’obiettivo di trasferire denaro dal conto corrente bancario dell’utente verso conti in paesi stranieri: da Zeus/Zbot, passando per il Sinowal, Gataka e Carberp.
2. I principali metodi di infezione che verranno presentati sono:
- diffusione attraverso e-mail con allegati allodola;
- diffusione attraverso falsi file .PDF;
- diffusione attraverso applet di flash player;
- diffusione attraverso JavaScript nascosti in pagine Web.
3. Presentazione di come avvenga l’infezione sul computer.
4. Illustrazione di come operativamente questi agenti malware siano in grado di bypassare il controllo attraverso chiavette PassKey-OTP, e il codice di verifica inviato via SMS.
5. Come cercare di prevenire l’infezione non solo dalle varianti già note ma anche e soprattutto dalle nuove varianti sconosciute all’antivirus in uso.
6. Conclusione e domande del pubblico. - See more at: http://www.smau.it/milano13/schedules/stato-dellarte-delle-truffe-bancarie-dal-phishing-ai-trojanbanker-come-si-diffonde-e-come-ci-si-difende/#sthash.8SgX7VUf.dpuf
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Gianfranco Tonello
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli enti e i professionisti
Macerata, 22 Giugno 2013
Storia dei computer virus: dalle origini dei virus per Ms-Dos ai malware in ambiente Windows.
Analisi di malware moderni: Trojan Banker, FraudTool, Ransomware, malware dei social network, virus dell'email.
Analisi delle Vulnerabilità e tecniche utilizzate per la diffusione.
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Gianfranco Tonello
Le tematiche trattate in questo workshop hanno spaziato:
- dalle tipologie e tecniche utilizzate per eseguire una frode informatica ai sistemi di autenticazione utilizzati dagli istituti di credito;
- ai trojan banker di windows e a quelli specificatamente progettati per interagire con AndroidTM / Iphone;
- fino alle contromisure da applicare per evitarli.
Argomenti trattati:
- Tecniche utilizzate: Phishing e Trojan Banker
- Autenticazione nell'home banking
- Approccio utilizzato da Trojan Banker
- Tecniche utilizzate dai Trojan Banker: keylogging, screen shot capturing, browser protected storage, redirect verso falsi siti bancari, VNC privata e Socks Proxy con back connect, From Grabbing (MITB), SMS Grabbing, etc.
- Trojan Banker: Zeus, Sinowal, Carberp, SpyEye, etc.
- Zeus: Il primo trojan Banker
- Esempi di Web Inject
- Sinowal: plugin per Google Chrome
- Carberp: come bypassare l'autenticazione via OTP (one time password)
- SpyEye: concorrente di Zeus
- ZitMo: Zeus in the Mobile, come bypassare l'autenticazione a 2 fattori via SMS
- Android Banking App: repacking
- Esempio di repacking dell'app bancaria per Android di Fineco
- iphone: sotto attacco
- Smart TV: sono sicure ? possibili scenari di attacco e loro vulnerabilità
- Maggiori cause di infezioni
- Exploit kit vulnerabilità: Java, Adobe Reader, Adobe Flash Player
- Come mi difendo
- CRAM App Analyser: tool diagnostico per Android
- Conclusioni
3. Ransomware: cosa sono ?
Con il termine Ransomware definiamo tutti quei
programmi o software che bloccano l’accesso ai
file di documenti o al computer chiedendo un
riscatto in denaro per accedervi.
Esempi di Ransomware:
Trojan.Win32.FakeGdF
Crypto-Malware
4. Crypto-Malware: cosa sono ?
Con il termine Crypto-Malware definiamo un ransomware che va a
cifrare i file di documenti o dati attraverso una password (chiave),
rendendo impossibile l’accesso fino al pagamento di un riscatto in
denaro.
2013-07
DirtyDecrypt
2013-06
UltraCode
2013-03
ACCDFISA
2012-12
DocEncrypter
2013-09
CryptoLocker
2014-09
TrueCrypt
2014-04
CryptoDefense
CryptoWall
2014-07
CTBLocker
2015-02
TeslaCrypt
2015-03
CryptoWall 3.0
2015-09
CryptoWall 4.0
2015-09
TeslaCrypt 2.0
CryptoFF
2016-02
CryptoLocky
2014-10
CryptoEncoder
VaultCrypt
2012 2013 2014 2015 2016
2016-03
CryptoCerber - TeslaCrypt 4.0
CryptoRokku - Petya
HydraCrypt (CryptoXXX)
2016-01
TeslaCrypt 3.0
DMA Lock
2016-04
CryptoBitMsg
2016-05
Petya 2.0
Mischa
5. Metodo di diffusione
via email (ingegneria sociale)
drive-by-download
siti infettati (utilizzo di vulnerabilità)
altri malware
TeslaCrypt 3.0
4000 account SMTP
compromessi
45 milioni di indirizzi email
6. CryptoLocker - TorrentLocker
anno: 2013 settembre
estensione: .encrypted
algoritmo: AES
riscatto: 300/600 euro (in bitcoin)
rete: Tor-Onion
11. Petya
anno: 2016 marzo
cifra la Master File Table
algoritmo: Salsa20
riscatto: 0,99 BTC
rete: Tor-Onion
versione: 2.0
12. Come funziona il CryptoMalware
email o sito infetto
esecuzione cryptomalware
invio/ricezione della chiave al/dal server C/C
cifratura documenti locali e di rete
richiesta riscatto
13. Statistiche: da Luglio a Dicembre 2015 (Italy)
0
50
100
150
Luglio Agosto Settembre Ottobre Novembre Dicembre
129
54 48
75
142
126
Numero di casi da Luglio a Dicembre 2015: 574
0 20 40 60 80 100 120 140 160 180
CryptoEncoder
CryptoFF
CryptoFile BIG
CryptoLocker
CryptoVault
CryptoWall 3.0
CryptoWall 4.0
CTBLocker
TeslaCrypt
52
5
1
176
2
143
40
37
118
14. Statistiche: da Gennaio a Maggio 2016 (Italy)
0
200
400
600
Gennaio Febbraio Marzo Aprile Maggio
191
553
269 221
184
Numero di casi da Gennaio a Maggio 2016: 1418
0 100 200 300 400 500 600 700 800
Cerber
CryptoEncoder
CryptoBitMsg
CryptoCrysis
CryptoLocker
CryptoLocky
CryptoWall 4.0
CTBLocker
DMA Lock
HydraCrypt
TeslaCrypt
17
48
7
1
272
95
51
14
2
164
747
15. 0
50
100
150
200
250
300
350
400
450
500
GENNAIO FEBBRAIO MARZO APRILE MAGGIO
19
48
70
85
50
65
9 8
28 22
1
51
111120
453
115
59
Numero di casi da Gennaio a Maggio 2016: 1418
Cerber Encoder BitMsg Crysis CryptoLocker Locky CryptoWall CTBLocker DMA Lock HydraCrypt TeslaCrypt
Statistiche: da Gennaio a Maggio 2016 (Italy)
16. Come mi difendo
(1) Bloccare il CryptoMalware prima che arrivi sul PC o
che venga eseguito (anti-virus)
(2) Mitigazione dell'attacco: Protezione Anti-Crypto
Malware
(3) Backup
(4) Recuperare i file cifrati
(1)
Cifratura dei file in corso…
(2)
(4)
(3)
17. Mitigazione dell'attacco: protezione Anti-Crypto Malware
E' un approccio euristico, che va ad analizzare il
"comportamento" dei processi
Se il processo si comporta da "cryptomalware", allora la
protezione andrà ad inibire l'accesso al file system del
processo
Disattivazione della connessione di rete LAN
18. Esempi di schemi di "comportamento" da CryptoMalware
file.doc file.doc
(1) (2.a)
file.doc file.doc.<new ext>
(2.b)
file.doc file.doc.<new ext>
X
(3.a)
file.doc <nome casuale>
(3.b)
file.doc <nome casuale>
X
(4.a)
file.doc <nome casuale>.<ext>
(4.b)
file.doc <nome casuale>.<ext>
X
Nome Tipo
DirtyDecrypt 1
CryptoLocker 2
CTBLocker 2
CryptoEncoder 2
TeslaCrypt 2
CryptoWall 4.0 3
CryptoLocky 4
19. VirIT
VirIT protezione Anti-Crypto Malware
Protezione Anti-Crypto Malware: permette di bloccare
cryptomalware anche di nuova generazione
Backup on-the-fly: backup al volo di file documenti (da 2 KB a 3 MB)
in fase di cancellazione, vengono tenuti per 48 ore
Disattivazione automatica connessione di rete LAN
Protezione da attacco esterno delle cartelle condivise
20. VirIT protezione Anti-Crypto Malware
Nome
Prot. Anti-Crypto
Malware
Backup
on-the-fly
Recupero Chiave
privata
CryptoLocker Si Si -
CTBLocker Si Si -
CryptoWall 3.0 Si Si -
TeslaCrypt (1.0, 2.0, 3.0, 4.0) Si No Si
CryptoEncoder Si No -
CryptoFF Si No Si
CryptoWall 4.0 Si Si -
CryptoCerber Si No -
CryptoLocky Si No -
HydraCrypt (CryptoXXX) Si No -
DMA Locker Si No -
Petya No - -
Mischa Si No -
22. VirIT protezione Anti-Crypto Malware
Statistica Ottobre 2015
Media dei file crittografati su PC / SERVER con la protezione Anti-
CryptoMalware integrata in Vir.IT eXplorer PRO
157
Media dei file crittografati con Anti Virus-Malware diverso da Vir.IT 42.452
Efficacia della tecnologia Anti-CryptoMalware integrata in Vir.IT
eXplorer PRO 99,63%*
* Aspettativa percentuale media di file salvati dalla crittografazione grazie alla protezione Anti-CryptoMalware di Vir.IT
eXplore PRO: http://www.tgsoft.it/italy/news_archivio.asp?id=664
23. Backup
Il Backup è l'unica soluzione che ci permette di recuperare i nostri
file
1. Le copie di "backup" devono essere scollegate dalla rete, per non
incorrere nella cifratura da parte del crypto-malware
2. Tenere più copie di "backup" separate
3. Non tenere le copie di "backup" sul NAS, pensando che essendo sotto
"linux" siano intaccabili !!!
4. Dropbox e la sincronizzazione: i file cifrati in locale verrano
sincronizzati da Dropbox, in questo modo i file originali verranno
sostituti con quelli cifrati (tenere uno storico dei backup)
VirIT Backup: permette di eseguire copie di "backup" come i
tradizionali software, ma queste saranno protette contro la cifratura
Punti di criticità dei sistemi di Backup:
• Tempo per eseguire il backup o il ripristino dei dati
• Copie obsolete
24. E' possibile recuperare i file cifrati ?
L'utilizzo di algortimi di cifratura come AES o RSA, rende il recupero
dei file cifrati nella maggior parte dei casi di difficile realizzazione, a
meno che non si conosca la chiave utilizzata
In passato sono state recuperate le chiavi private dal server di C/C,
grazie all'ausilio delle forze dell'ordine (sequestro del computer)
In alcuni casi gli autori dei crypto-malware hanno commesso degli
errori e hanno lasciato dei punti deboli nel loro sistema, come nel
caso del TeslaCrypt (versioni precendenti alla 3.0)
In altri è possibile recuperare i file cifrati attraverso le shadow copies
di Windows (da Vista in su), se queste non sono state cancellate dal
crypto-malware.
Con software di recupero dati (come Recuva) è possibile ripristinare
file "accidentalmente" cancellati
25. TeslaCrypt
Per le versioni precedenti alla 3.0 del TeslaCrypt (.vvv e altre) è possibile recuperare i file
con i seguenti tool: TeslaDecoder (BloodDolly), TeslaCrack (Googulator) e The Talos
TeslaCrypt Decryption Tool (Cisco).
Il punto debole delle versioni precendenti alla 3.0 è stato quello di aver reso disponibile il
valore session_ecdh_secret_mul:
session_ecdh_secret_mul = session_ecdh_secret * session_chiave_privata
Il teorema fondamentale dell'aritmetica afferma che:
Ogni numero naturale maggiore di 1 o è un numero primo o si può esprimere come
prodotto di numeri primi. Tale rappresentazione è unica, se si prescinde dall'ordine in
cui compaiono i fattori.
= ∗ ∗ ⋯ ∗
Attraverso la fattorizzazione è stato possibile determinare la chiave privata.
26. TeslaCrypt 3.0 e 4.0
Dalla versione 3.0 del TeslaCrypt NON è possibile recuperare i file (senza conoscere la
chiave privata), perchè gli autori hanno corretto l'errore introdotto nelle versioni precedenti.
La chiave pubblica è un punto della curva ellittica secp256k1
La chiave privata è un numero casuale a 256 bit
Progetto chiuso da Maggio 2016
Numero di combinazioni:
Totocalcio (13 partite) = 3^13 = 1.594.323
SuperEnalotto = C(90,6) = 622.614.630
Chiave a 256 bit = 115792089237316195423570985008687907853269984665640564039457584007913129639935
0 1,17E+77
Chiave a 256 bit
SuperEnalatto
Totocalcio
Num. Combinazioni
Nel 2004 per risolvere una
curva ellittica a 109 bit, un
team di 2600 persone ha
impiegato 17 mesi.
27. Conclusioni
Nei primi mesi del 2016 abbiamo visto un impennata di crypto-
malware rispetto al 2015
Gli autori sono vere e proprie organizzazioni criminali, che lavorano
a livello industriale, sfornando ad ogni ora nuove varianti di Crypto-
Malware
I classici prodotti AV sono in difficoltà contro queste tipologie di
minacce
Il recupero dei file cifrati è molto difficile, a meno che non vi siano
errori da parte degli autori dei crypto-malware
Il riscatto richiesto è una somma "bassa", pagare o non pagare ?
Il backup è un'ottima soluzione, ma non sempre viene eseguito
oppure quando non viene cifrato può essere obsoleto
La protezione pro-attiva Anti-Crypto malware può mitigare l'attacco
salvando la vittima