SlideShare uma empresa Scribd logo

Scacco matto ai crytpo malware (smau 2016 - bologna)

Gianfranco Tonello
Gianfranco Tonello

Il workshop ha come obiettivo quello di presentare lo stato dell’arte dei Crypto-Malware/Ransomware che crittografano i file di dati di PC e SERVER e ne richiedono il riscatto. Sarà effettuata una panoramica sulle principali famiglie/tipologie di Crypto-Malware che tra il 2015 e l’inizio del 2016 si sono diffuse maggiormente in Italia andando ad analizzare le modalità di attacco e i danni causati. Verranno presentati i comportamenti adatti ad evitare l’infezione e/o contrastare efficacemente la cifratura dei file. Si procederà poi a simulare un attacco reale da Crypto-Malware mostrando gli effetti su PC privo di sistema di protezione in grado di segnalare l’attacco e, di seguito, a fronte dello stesso attacco, su PC / SERVER sui quali sia presente un sistema di protezione euristico-comportamentale in grado di segnalarne e mitigarne gli effetti anche da varianti di nuova generazione quindi non ancora identificabili con i metodi di intercettazione classici.

Software
1 de 30
Baixar para ler offline
Scacco matto ai Crypto-Malware! Come mettere al sicuro i nostri dati più preziosi. Ing. Gianfranco Tonello
Scacco matto ai Crypto-malware! Presentazione e della slide
Ransomware: cosa sono ? Con il termine Ransomware definiamo tutti quei programmi o software che bloccano l’accesso ai file di documenti o al computer chiedendo un riscatto in denaro per accedervi. Esempi di Ransomware: Trojan.Win32.FakeGdF Crypto-Malware
Crypto-Malware: cosa sono ? Con il termine Crypto-Malware definiamo un ransomware che va a cifrare i file di documenti o dati attraverso una password (chiave), rendendo impossibile l’accesso fino al pagamento di un riscatto in denaro. 2013-07 DirtyDecrypt 2013-06 UltraCode 2013-03 ACCDFISA 2012-12 DocEncrypter 2013-09 CryptoLocker 2014-09 TrueCrypt 2014-04 CryptoDefense CryptoWall 2014-07 CTBLocker 2015-02 TeslaCrypt 2015-03 CryptoWall 3.0 2015-09 CryptoWall 4.0 2015-09 TeslaCrypt 2.0 CryptoFF 2016-02 CryptoLocky 2014-10 CryptoEncoder VaultCrypt 2012 2013 2014 2015 2016 2016-03 CryptoCerber - TeslaCrypt 4.0 CryptoRokku - Petya HydraCrypt (CryptoXXX) 2016-01 TeslaCrypt 3.0 DMA Lock 2016-04 CryptoBitMsg 2016-05 Petya 2.0 Mischa
Metodo di diffusione via email (ingegneria sociale) drive-by-download siti infettati (utilizzo di vulnerabilità) altri malware TeslaCrypt 3.0 4000 account SMTP compromessi 45 milioni di indirizzi email
CryptoLocker - TorrentLocker anno: 2013 settembre estensione: .encrypted algoritmo: AES riscatto: 300/600 euro (in bitcoin) rete: Tor-Onion
CryptoWall anno: 2014 aprile estensione: <casuale> algoritmo: RSA-2048 riscatto: 500/1000 USD (in bitcoin) rete: Tor-Onion versione: 4.0
CTBLocker: Curve Tor Bitcoin Locker anno: 2014 luglio estensione: .<casuale di 7 char> algoritmo: AES riscatto: 2 BTC rete: Tor-Onion
TeslaCrypt anno: 2015 febbraio estensioni: .micro, .mp3 (varie) algoritmo: AES riscatto: 500/1000 USD (in bitcoin) rete: Tor-Onion versione: 4.0
CryptoLocky anno: 2016 febbraio estensioni: .locky algoritmo: RSA - AES riscatto: 0,5 – 1 – 3 BTC rete: Tor-Onion
Petya anno: 2016 marzo cifra la Master File Table algoritmo: Salsa20 riscatto: 0,99 BTC rete: Tor-Onion versione: 2.0
Come funziona il CryptoMalware email o sito infetto esecuzione cryptomalware invio/ricezione della chiave al/dal server C/C cifratura documenti locali e di rete richiesta riscatto
Statistiche: da Luglio a Dicembre 2015 (Italy) 0 50 100 150 Luglio Agosto Settembre Ottobre Novembre Dicembre 129 54 48 75 142 126 Numero di casi da Luglio a Dicembre 2015: 574 0 20 40 60 80 100 120 140 160 180 CryptoEncoder CryptoFF CryptoFile BIG CryptoLocker CryptoVault CryptoWall 3.0 CryptoWall 4.0 CTBLocker TeslaCrypt 52 5 1 176 2 143 40 37 118
Statistiche: da Gennaio a Maggio 2016 (Italy) 0 200 400 600 Gennaio Febbraio Marzo Aprile Maggio 191 553 269 221 184 Numero di casi da Gennaio a Maggio 2016: 1418 0 100 200 300 400 500 600 700 800 Cerber CryptoEncoder CryptoBitMsg CryptoCrysis CryptoLocker CryptoLocky CryptoWall 4.0 CTBLocker DMA Lock HydraCrypt TeslaCrypt 17 48 7 1 272 95 51 14 2 164 747
0 50 100 150 200 250 300 350 400 450 500 GENNAIO FEBBRAIO MARZO APRILE MAGGIO 19 48 70 85 50 65 9 8 28 22 1 51 111120 453 115 59 Numero di casi da Gennaio a Maggio 2016: 1418 Cerber Encoder BitMsg Crysis CryptoLocker Locky CryptoWall CTBLocker DMA Lock HydraCrypt TeslaCrypt Statistiche: da Gennaio a Maggio 2016 (Italy)
Come mi difendo (1) Bloccare il CryptoMalware prima che arrivi sul PC o che venga eseguito (anti-virus) (2) Mitigazione dell'attacco: Protezione Anti-Crypto Malware (3) Backup (4) Recuperare i file cifrati (1) Cifratura dei file in corso… (2) (4) (3)
Mitigazione dell'attacco: protezione Anti-Crypto Malware E' un approccio euristico, che va ad analizzare il "comportamento" dei processi Se il processo si comporta da "cryptomalware", allora la protezione andrà ad inibire l'accesso al file system del processo Disattivazione della connessione di rete LAN
Esempi di schemi di "comportamento" da CryptoMalware file.doc file.doc (1) (2.a) file.doc file.doc.<new ext> (2.b) file.doc file.doc.<new ext> X (3.a) file.doc <nome casuale> (3.b) file.doc <nome casuale> X (4.a) file.doc <nome casuale>.<ext> (4.b) file.doc <nome casuale>.<ext> X Nome Tipo DirtyDecrypt 1 CryptoLocker 2 CTBLocker 2 CryptoEncoder 2 TeslaCrypt 2 CryptoWall 4.0 3 CryptoLocky 4
VirIT VirIT protezione Anti-Crypto Malware Protezione Anti-Crypto Malware: permette di bloccare cryptomalware anche di nuova generazione Backup on-the-fly: backup al volo di file documenti (da 2 KB a 3 MB) in fase di cancellazione, vengono tenuti per 48 ore Disattivazione automatica connessione di rete LAN Protezione da attacco esterno delle cartelle condivise
VirIT protezione Anti-Crypto Malware Nome Prot. Anti-Crypto Malware Backup on-the-fly Recupero Chiave privata CryptoLocker Si Si - CTBLocker Si Si - CryptoWall 3.0 Si Si - TeslaCrypt (1.0, 2.0, 3.0, 4.0) Si No Si CryptoEncoder Si No - CryptoFF Si No Si CryptoWall 4.0 Si Si - CryptoCerber Si No - CryptoLocky Si No - HydraCrypt (CryptoXXX) Si No - DMA Locker Si No - Petya No - - Mischa Si No -
VirIT protezione Anti-Crypto Malware Simulazione di un attacco da CryptoMalware su macchina virtuale.
VirIT protezione Anti-Crypto Malware Statistica Ottobre 2015 Media dei file crittografati su PC / SERVER con la protezione Anti- CryptoMalware integrata in Vir.IT eXplorer PRO 157 Media dei file crittografati con Anti Virus-Malware diverso da Vir.IT 42.452 Efficacia della tecnologia Anti-CryptoMalware integrata in Vir.IT eXplorer PRO 99,63%* * Aspettativa percentuale media di file salvati dalla crittografazione grazie alla protezione Anti-CryptoMalware di Vir.IT eXplore PRO: http://www.tgsoft.it/italy/news_archivio.asp?id=664
Backup Il Backup è l'unica soluzione che ci permette di recuperare i nostri file 1. Le copie di "backup" devono essere scollegate dalla rete, per non incorrere nella cifratura da parte del crypto-malware 2. Tenere più copie di "backup" separate 3. Non tenere le copie di "backup" sul NAS, pensando che essendo sotto "linux" siano intaccabili !!! 4. Dropbox e la sincronizzazione: i file cifrati in locale verrano sincronizzati da Dropbox, in questo modo i file originali verranno sostituti con quelli cifrati (tenere uno storico dei backup) VirIT Backup: permette di eseguire copie di "backup" come i tradizionali software, ma queste saranno protette contro la cifratura Punti di criticità dei sistemi di Backup: • Tempo per eseguire il backup o il ripristino dei dati • Copie obsolete
E' possibile recuperare i file cifrati ? L'utilizzo di algortimi di cifratura come AES o RSA, rende il recupero dei file cifrati nella maggior parte dei casi di difficile realizzazione, a meno che non si conosca la chiave utilizzata In passato sono state recuperate le chiavi private dal server di C/C, grazie all'ausilio delle forze dell'ordine (sequestro del computer) In alcuni casi gli autori dei crypto-malware hanno commesso degli errori e hanno lasciato dei punti deboli nel loro sistema, come nel caso del TeslaCrypt (versioni precendenti alla 3.0) In altri è possibile recuperare i file cifrati attraverso le shadow copies di Windows (da Vista in su), se queste non sono state cancellate dal crypto-malware. Con software di recupero dati (come Recuva) è possibile ripristinare file "accidentalmente" cancellati
TeslaCrypt Per le versioni precedenti alla 3.0 del TeslaCrypt (.vvv e altre) è possibile recuperare i file con i seguenti tool: TeslaDecoder (BloodDolly), TeslaCrack (Googulator) e The Talos TeslaCrypt Decryption Tool (Cisco). Il punto debole delle versioni precendenti alla 3.0 è stato quello di aver reso disponibile il valore session_ecdh_secret_mul: session_ecdh_secret_mul = session_ecdh_secret * session_chiave_privata Il teorema fondamentale dell'aritmetica afferma che: Ogni numero naturale maggiore di 1 o è un numero primo o si può esprimere come prodotto di numeri primi. Tale rappresentazione è unica, se si prescinde dall'ordine in cui compaiono i fattori. = ∗ ∗ ⋯ ∗ Attraverso la fattorizzazione è stato possibile determinare la chiave privata.
TeslaCrypt 3.0 e 4.0 Dalla versione 3.0 del TeslaCrypt NON è possibile recuperare i file (senza conoscere la chiave privata), perchè gli autori hanno corretto l'errore introdotto nelle versioni precedenti. La chiave pubblica è un punto della curva ellittica secp256k1 La chiave privata è un numero casuale a 256 bit Progetto chiuso da Maggio 2016 Numero di combinazioni: Totocalcio (13 partite) = 3^13 = 1.594.323 SuperEnalotto = C(90,6) = 622.614.630 Chiave a 256 bit = 115792089237316195423570985008687907853269984665640564039457584007913129639935 0 1,17E+77 Chiave a 256 bit SuperEnalatto Totocalcio Num. Combinazioni Nel 2004 per risolvere una curva ellittica a 109 bit, un team di 2600 persone ha impiegato 17 mesi.
Conclusioni Nei primi mesi del 2016 abbiamo visto un impennata di crypto- malware rispetto al 2015 Gli autori sono vere e proprie organizzazioni criminali, che lavorano a livello industriale, sfornando ad ogni ora nuove varianti di Crypto- Malware I classici prodotti AV sono in difficoltà contro queste tipologie di minacce Il recupero dei file cifrati è molto difficile, a meno che non vi siano errori da parte degli autori dei crypto-malware Il riscatto richiesto è una somma "bassa", pagare o non pagare ? Il backup è un'ottima soluzione, ma non sempre viene eseguito oppure quando non viene cifrato può essere obsoleto La protezione pro-attiva Anti-Crypto malware può mitigare l'attacco salvando la vittima
Domande
Autore Ing. Gianfranco Tonello (g.tonello@viritpro.com) Grazie per l’attenzione https://www.facebook.com/viritexplorer
Referenze http://www.tgsoft.it TeslaDecoder: http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to- decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/ TeslaCrack: https://github.com/Googulator/TeslaCrack The Talos TeslaCrypt Decryption Tool: http://blogs.cisco.com/security/talos/teslacrypt Let’s ride with TeslaCrypt: http://thisissecurity.net/2016/03/02/lets-ride-with-teslacrypt/ Il punto debole di Petya Ransomware!: http://www.tgsoft.it/italy/news_archivio.asp?id=718 Petya Ransomware ai raggi X !!!: http://www.tgsoft.it/italy/news_archivio.asp?id=712

Recomendados

Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Gianfranco Tonello
 
Hacking reti wireless
Hacking reti wirelessHacking reti wireless
Hacking reti wirelessCe.Se.N.A. Security
 
Il tuo router è sicuro?!
Il tuo router è sicuro?!Il tuo router è sicuro?!
Il tuo router è sicuro?!Raffaele Sommese
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 
Il venerdì nero di wannacry
Il venerdì nero di wannacryIl venerdì nero di wannacry
Il venerdì nero di wannacryGianni Amato
 
Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Gianni Amato
 
Cyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiCyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiMarco Ferrigno
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
 

Recomendados

Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Gianfranco Tonello
 
Hacking reti wireless
Hacking reti wirelessHacking reti wireless
Hacking reti wirelessCe.Se.N.A. Security
 
Il tuo router è sicuro?!
Il tuo router è sicuro?!Il tuo router è sicuro?!
Il tuo router è sicuro?!Raffaele Sommese
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 
Il venerdì nero di wannacry
Il venerdì nero di wannacryIl venerdì nero di wannacry
Il venerdì nero di wannacryGianni Amato
 
Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Gianni Amato
 
Cyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiCyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiMarco Ferrigno
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
 
Burgerinitiatieven kansrijker door inzicht in te realiseren waarden.
Burgerinitiatieven kansrijker door inzicht in te realiseren waarden.Burgerinitiatieven kansrijker door inzicht in te realiseren waarden.
Burgerinitiatieven kansrijker door inzicht in te realiseren waarden.ONDERBOVEN
 
東京の魅力発信(一生住みたい街探しアプリの必要性) 東京Odd2016
東京の魅力発信(一生住みたい街探しアプリの必要性) 東京Odd2016東京の魅力発信(一生住みたい街探しアプリの必要性) 東京Odd2016
東京の魅力発信(一生住みたい街探しアプリの必要性) 東京Odd2016Tomihiko Azuma
 
子育て(子育てママの駅ネットアプリ(&パパもね)) 東京Odd2016
子育て(子育てママの駅ネットアプリ(&パパもね)) 東京Odd2016子育て(子育てママの駅ネットアプリ(&パパもね)) 東京Odd2016
子育て(子育てママの駅ネットアプリ(&パパもね)) 東京Odd2016Tomihiko Azuma
 
resume
resumeresume
resumeSarah Ross
 
Bac Com CL
Bac Com CLBac Com CL
Bac Com CLCorneli Linde
 
子育て(パパの子育て支援) 東京Odd2016
子育て(パパの子育て支援) 東京Odd2016子育て(パパの子育て支援) 東京Odd2016
子育て(パパの子育て支援) 東京Odd2016Tomihiko Azuma
 
Seqrite utm(ita)
Seqrite utm(ita)Seqrite utm(ita)
Seqrite utm(ita)netWork S.a.s
 
Disasters impact on agriculture
Disasters impact on agricultureDisasters impact on agriculture
Disasters impact on agricultureUbaid Qayoom
 
нг1
нг1нг1
нг1tanya210655
 
Pharmaceutical Sectore Report - January 2017
Pharmaceutical Sectore Report - January 2017Pharmaceutical Sectore Report - January 2017
Pharmaceutical Sectore Report - January 2017India Brand Equity Foundation
 
Optimization and Mathematical Programming in R and ROI - R Optimization Infra...
Optimization and Mathematical Programming in R and ROI - R Optimization Infra...Optimization and Mathematical Programming in R and ROI - R Optimization Infra...
Optimization and Mathematical Programming in R and ROI - R Optimization Infra...Dr. Volkan OBAN
 
Fashion Trends Among Youngsters
Fashion Trends Among YoungstersFashion Trends Among Youngsters
Fashion Trends Among YoungstersGarfield Gemok
 
Family planing methods
Family planing methodsFamily planing methods
Family planing methodsirfan ali
 
¿Como controlar y mejorar nuestra operativa de trading?
¿Como controlar y mejorar nuestra operativa de trading?¿Como controlar y mejorar nuestra operativa de trading?
¿Como controlar y mejorar nuestra operativa de trading?Rankia
 
Checkmate to crypto malware. Scacco matto ai crypto malware
Checkmate to crypto malware. Scacco matto ai crypto malwareCheckmate to crypto malware. Scacco matto ai crypto malware
Checkmate to crypto malware. Scacco matto ai crypto malwareGianfranco Tonello
 
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdfDodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdfHelpRansomware
 
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...Antonio Musarra
 
Data hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceData hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceMarco Ferrigno
 
Data Hiding
Data HidingData Hiding
Data HidingNaLUG
 
Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Marco Ferrigno
 
Sicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersSicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersGianluca Magalotti
 
Evento 18 giugno - Ibm sicurezza - parte a - problematiche
Evento 18 giugno - Ibm sicurezza - parte a - problematiche Evento 18 giugno - Ibm sicurezza - parte a - problematiche
Evento 18 giugno - Ibm sicurezza - parte a - problematiche PRAGMA PROGETTI
 

Mais conteúdo relacionado

Destaque

Burgerinitiatieven kansrijker door inzicht in te realiseren waarden.
Burgerinitiatieven kansrijker door inzicht in te realiseren waarden.Burgerinitiatieven kansrijker door inzicht in te realiseren waarden.
Burgerinitiatieven kansrijker door inzicht in te realiseren waarden.ONDERBOVEN
 
東京の魅力発信(一生住みたい街探しアプリの必要性) 東京Odd2016
東京の魅力発信(一生住みたい街探しアプリの必要性) 東京Odd2016東京の魅力発信(一生住みたい街探しアプリの必要性) 東京Odd2016
東京の魅力発信(一生住みたい街探しアプリの必要性) 東京Odd2016Tomihiko Azuma
 
子育て(子育てママの駅ネットアプリ(&パパもね)) 東京Odd2016
子育て(子育てママの駅ネットアプリ(&パパもね)) 東京Odd2016子育て(子育てママの駅ネットアプリ(&パパもね)) 東京Odd2016
子育て(子育てママの駅ネットアプリ(&パパもね)) 東京Odd2016Tomihiko Azuma
 
子育て(パパの子育て支援) 東京Odd2016
子育て(パパの子育て支援) 東京Odd2016子育て(パパの子育て支援) 東京Odd2016
子育て(パパの子育て支援) 東京Odd2016Tomihiko Azuma
 
Disasters impact on agriculture
Disasters impact on agricultureDisasters impact on agriculture
Disasters impact on agricultureUbaid Qayoom
 
Optimization and Mathematical Programming in R and ROI - R Optimization Infra...
Optimization and Mathematical Programming in R and ROI - R Optimization Infra...Optimization and Mathematical Programming in R and ROI - R Optimization Infra...
Optimization and Mathematical Programming in R and ROI - R Optimization Infra...Dr. Volkan OBAN
 
Fashion Trends Among Youngsters
Fashion Trends Among YoungstersFashion Trends Among Youngsters
Fashion Trends Among YoungstersGarfield Gemok
 
Family planing methods
Family planing methodsFamily planing methods
Family planing methodsirfan ali
 
¿Como controlar y mejorar nuestra operativa de trading?
¿Como controlar y mejorar nuestra operativa de trading?¿Como controlar y mejorar nuestra operativa de trading?
¿Como controlar y mejorar nuestra operativa de trading?Rankia
 

Destaque (14)

Burgerinitiatieven kansrijker door inzicht in te realiseren waarden.
Burgerinitiatieven kansrijker door inzicht in te realiseren waarden.Burgerinitiatieven kansrijker door inzicht in te realiseren waarden.
Burgerinitiatieven kansrijker door inzicht in te realiseren waarden.
 
東京の魅力発信(一生住みたい街探しアプリの必要性) 東京Odd2016
東京の魅力発信(一生住みたい街探しアプリの必要性) 東京Odd2016東京の魅力発信(一生住みたい街探しアプリの必要性) 東京Odd2016
東京の魅力発信(一生住みたい街探しアプリの必要性) 東京Odd2016
 
子育て(子育てママの駅ネットアプリ(&パパもね)) 東京Odd2016
子育て(子育てママの駅ネットアプリ(&パパもね)) 東京Odd2016子育て(子育てママの駅ネットアプリ(&パパもね)) 東京Odd2016
子育て(子育てママの駅ネットアプリ(&パパもね)) 東京Odd2016
 
resume
resumeresume
resume
 
Bac Com CL
Bac Com CLBac Com CL
Bac Com CL
 
子育て(パパの子育て支援) 東京Odd2016
子育て(パパの子育て支援) 東京Odd2016子育て(パパの子育て支援) 東京Odd2016
子育て(パパの子育て支援) 東京Odd2016
 
Seqrite utm(ita)
Seqrite utm(ita)Seqrite utm(ita)
Seqrite utm(ita)
 
Disasters impact on agriculture
Disasters impact on agricultureDisasters impact on agriculture
Disasters impact on agriculture
 
нг1
нг1нг1
нг1
 
Pharmaceutical Sectore Report - January 2017
Pharmaceutical Sectore Report - January 2017Pharmaceutical Sectore Report - January 2017
Pharmaceutical Sectore Report - January 2017
 
Optimization and Mathematical Programming in R and ROI - R Optimization Infra...
Optimization and Mathematical Programming in R and ROI - R Optimization Infra...Optimization and Mathematical Programming in R and ROI - R Optimization Infra...
Optimization and Mathematical Programming in R and ROI - R Optimization Infra...
 
Fashion Trends Among Youngsters
Fashion Trends Among YoungstersFashion Trends Among Youngsters
Fashion Trends Among Youngsters
 
Family planing methods
Family planing methodsFamily planing methods
Family planing methods
 
¿Como controlar y mejorar nuestra operativa de trading?
¿Como controlar y mejorar nuestra operativa de trading?¿Como controlar y mejorar nuestra operativa de trading?
¿Como controlar y mejorar nuestra operativa de trading?
 

Semelhante a Scacco matto ai crytpo malware (smau 2016 - bologna)

Checkmate to crypto malware. Scacco matto ai crypto malware
Checkmate to crypto malware. Scacco matto ai crypto malwareCheckmate to crypto malware. Scacco matto ai crypto malware
Checkmate to crypto malware. Scacco matto ai crypto malwareGianfranco Tonello
 
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdfDodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdfHelpRansomware
 
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...Antonio Musarra
 
Data hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceData hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceMarco Ferrigno
 
Data Hiding
Data HidingData Hiding
Data HidingNaLUG
 
Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Marco Ferrigno
 
Sicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersSicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersGianluca Magalotti
 
Evento 18 giugno - Ibm sicurezza - parte a - problematiche
Evento 18 giugno - Ibm sicurezza - parte a - problematiche Evento 18 giugno - Ibm sicurezza - parte a - problematiche
Evento 18 giugno - Ibm sicurezza - parte a - problematiche PRAGMA PROGETTI
 
Cryptolocker, ransomware e ricatti digitali
Cryptolocker, ransomware e ricatti digitali Cryptolocker, ransomware e ricatti digitali
Cryptolocker, ransomware e ricatti digitali dalchecco
 
Quantum Distribution Key Protocols
Quantum Distribution Key ProtocolsQuantum Distribution Key Protocols
Quantum Distribution Key ProtocolsFranco
 
Tutto Quello Che Devi Sapere Su Cryptolocker.pdf
Tutto Quello Che Devi Sapere Su Cryptolocker.pdfTutto Quello Che Devi Sapere Su Cryptolocker.pdf
Tutto Quello Che Devi Sapere Su Cryptolocker.pdfHelpRansomware
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Studio Fiorenzi Security & Forensics
 
Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Massimo Chirivì
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfHelpRansomware
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration TestSalvatore Lentini
 
Difendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open sourceDifendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open sourceGianluca Vaglio
 
Come Ripristinare File Criptati Da Un Ransomware.pdf
Come Ripristinare File Criptati Da Un Ransomware.pdfCome Ripristinare File Criptati Da Un Ransomware.pdf
Come Ripristinare File Criptati Da Un Ransomware.pdfHelpRansomware
 
Ibm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniIbm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniS.info Srl
 
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastruttureL'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastruttureMarcoMarinello2
 

Semelhante a Scacco matto ai crytpo malware (smau 2016 - bologna) (20)

Checkmate to crypto malware. Scacco matto ai crypto malware
Checkmate to crypto malware. Scacco matto ai crypto malwareCheckmate to crypto malware. Scacco matto ai crypto malware
Checkmate to crypto malware. Scacco matto ai crypto malware
 
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdfDodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
 
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...
 
Data hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceData hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open source
 
Data Hiding
Data HidingData Hiding
Data Hiding
 
Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...
 
Sicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersSicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a Containers
 
Evento 18 giugno - Ibm sicurezza - parte a - problematiche
Evento 18 giugno - Ibm sicurezza - parte a - problematiche Evento 18 giugno - Ibm sicurezza - parte a - problematiche
Evento 18 giugno - Ibm sicurezza - parte a - problematiche
 
Cryptolocker, ransomware e ricatti digitali
Cryptolocker, ransomware e ricatti digitali Cryptolocker, ransomware e ricatti digitali
Cryptolocker, ransomware e ricatti digitali
 
Soluzioni per proteggere i dati nel cloud
Soluzioni per proteggere i dati nel cloudSoluzioni per proteggere i dati nel cloud
Soluzioni per proteggere i dati nel cloud
 
Quantum Distribution Key Protocols
Quantum Distribution Key ProtocolsQuantum Distribution Key Protocols
Quantum Distribution Key Protocols
 
Tutto Quello Che Devi Sapere Su Cryptolocker.pdf
Tutto Quello Che Devi Sapere Su Cryptolocker.pdfTutto Quello Che Devi Sapere Su Cryptolocker.pdf
Tutto Quello Che Devi Sapere Su Cryptolocker.pdf
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
 
Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdf
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration Test
 
Difendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open sourceDifendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open source
 
Come Ripristinare File Criptati Da Un Ransomware.pdf
Come Ripristinare File Criptati Da Un Ransomware.pdfCome Ripristinare File Criptati Da Un Ransomware.pdf
Come Ripristinare File Criptati Da Un Ransomware.pdf
 
Ibm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniIbm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioni
 
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastruttureL'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
 

Mais de Gianfranco Tonello

Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018Gianfranco Tonello
 
Bootkits are not dead, Pitou is back!
Bootkits are not dead, Pitou is back!Bootkits are not dead, Pitou is back!
Bootkits are not dead, Pitou is back!Gianfranco Tonello
 
Petya Ransomware: sotto i riflettori
Petya Ransomware: sotto i riflettoriPetya Ransomware: sotto i riflettori
Petya Ransomware: sotto i riflettoriGianfranco Tonello
 
Tutto quello che avreste voluto sapere sui malware android
Tutto quello che avreste voluto sapere sui malware androidTutto quello che avreste voluto sapere sui malware android
Tutto quello che avreste voluto sapere sui malware androidGianfranco Tonello
 
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...Gianfranco Tonello
 
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Gianfranco Tonello
 
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Gianfranco Tonello
 
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Gianfranco Tonello
 

Mais de Gianfranco Tonello (8)

Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
 
Bootkits are not dead, Pitou is back!
Bootkits are not dead, Pitou is back!Bootkits are not dead, Pitou is back!
Bootkits are not dead, Pitou is back!
 
Petya Ransomware: sotto i riflettori
Petya Ransomware: sotto i riflettoriPetya Ransomware: sotto i riflettori
Petya Ransomware: sotto i riflettori
 
Tutto quello che avreste voluto sapere sui malware android
Tutto quello che avreste voluto sapere sui malware androidTutto quello che avreste voluto sapere sui malware android
Tutto quello che avreste voluto sapere sui malware android
 
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
 
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
 
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
 
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
 

Scacco matto ai crytpo malware (smau 2016 - bologna)

  • 1. Scacco matto ai Crypto-Malware! Come mettere al sicuro i nostri dati più preziosi. Ing. Gianfranco Tonello
  • 2. Scacco matto ai Crypto-malware! Presentazione e della slide
  • 3. Ransomware: cosa sono ? Con il termine Ransomware definiamo tutti quei programmi o software che bloccano l’accesso ai file di documenti o al computer chiedendo un riscatto in denaro per accedervi. Esempi di Ransomware: Trojan.Win32.FakeGdF Crypto-Malware
  • 4. Crypto-Malware: cosa sono ? Con il termine Crypto-Malware definiamo un ransomware che va a cifrare i file di documenti o dati attraverso una password (chiave), rendendo impossibile l’accesso fino al pagamento di un riscatto in denaro. 2013-07 DirtyDecrypt 2013-06 UltraCode 2013-03 ACCDFISA 2012-12 DocEncrypter 2013-09 CryptoLocker 2014-09 TrueCrypt 2014-04 CryptoDefense CryptoWall 2014-07 CTBLocker 2015-02 TeslaCrypt 2015-03 CryptoWall 3.0 2015-09 CryptoWall 4.0 2015-09 TeslaCrypt 2.0 CryptoFF 2016-02 CryptoLocky 2014-10 CryptoEncoder VaultCrypt 2012 2013 2014 2015 2016 2016-03 CryptoCerber - TeslaCrypt 4.0 CryptoRokku - Petya HydraCrypt (CryptoXXX) 2016-01 TeslaCrypt 3.0 DMA Lock 2016-04 CryptoBitMsg 2016-05 Petya 2.0 Mischa
  • 5. Metodo di diffusione via email (ingegneria sociale) drive-by-download siti infettati (utilizzo di vulnerabilità) altri malware TeslaCrypt 3.0 4000 account SMTP compromessi 45 milioni di indirizzi email
  • 6. CryptoLocker - TorrentLocker anno: 2013 settembre estensione: .encrypted algoritmo: AES riscatto: 300/600 euro (in bitcoin) rete: Tor-Onion
  • 7. CryptoWall anno: 2014 aprile estensione: <casuale> algoritmo: RSA-2048 riscatto: 500/1000 USD (in bitcoin) rete: Tor-Onion versione: 4.0
  • 8. CTBLocker: Curve Tor Bitcoin Locker anno: 2014 luglio estensione: .<casuale di 7 char> algoritmo: AES riscatto: 2 BTC rete: Tor-Onion
  • 9. TeslaCrypt anno: 2015 febbraio estensioni: .micro, .mp3 (varie) algoritmo: AES riscatto: 500/1000 USD (in bitcoin) rete: Tor-Onion versione: 4.0
  • 10. CryptoLocky anno: 2016 febbraio estensioni: .locky algoritmo: RSA - AES riscatto: 0,5 – 1 – 3 BTC rete: Tor-Onion
  • 11. Petya anno: 2016 marzo cifra la Master File Table algoritmo: Salsa20 riscatto: 0,99 BTC rete: Tor-Onion versione: 2.0
  • 12. Come funziona il CryptoMalware email o sito infetto esecuzione cryptomalware invio/ricezione della chiave al/dal server C/C cifratura documenti locali e di rete richiesta riscatto
  • 13. Statistiche: da Luglio a Dicembre 2015 (Italy) 0 50 100 150 Luglio Agosto Settembre Ottobre Novembre Dicembre 129 54 48 75 142 126 Numero di casi da Luglio a Dicembre 2015: 574 0 20 40 60 80 100 120 140 160 180 CryptoEncoder CryptoFF CryptoFile BIG CryptoLocker CryptoVault CryptoWall 3.0 CryptoWall 4.0 CTBLocker TeslaCrypt 52 5 1 176 2 143 40 37 118
  • 14. Statistiche: da Gennaio a Maggio 2016 (Italy) 0 200 400 600 Gennaio Febbraio Marzo Aprile Maggio 191 553 269 221 184 Numero di casi da Gennaio a Maggio 2016: 1418 0 100 200 300 400 500 600 700 800 Cerber CryptoEncoder CryptoBitMsg CryptoCrysis CryptoLocker CryptoLocky CryptoWall 4.0 CTBLocker DMA Lock HydraCrypt TeslaCrypt 17 48 7 1 272 95 51 14 2 164 747
  • 15. 0 50 100 150 200 250 300 350 400 450 500 GENNAIO FEBBRAIO MARZO APRILE MAGGIO 19 48 70 85 50 65 9 8 28 22 1 51 111120 453 115 59 Numero di casi da Gennaio a Maggio 2016: 1418 Cerber Encoder BitMsg Crysis CryptoLocker Locky CryptoWall CTBLocker DMA Lock HydraCrypt TeslaCrypt Statistiche: da Gennaio a Maggio 2016 (Italy)
  • 16. Come mi difendo (1) Bloccare il CryptoMalware prima che arrivi sul PC o che venga eseguito (anti-virus) (2) Mitigazione dell'attacco: Protezione Anti-Crypto Malware (3) Backup (4) Recuperare i file cifrati (1) Cifratura dei file in corso… (2) (4) (3)
  • 17. Mitigazione dell'attacco: protezione Anti-Crypto Malware E' un approccio euristico, che va ad analizzare il "comportamento" dei processi Se il processo si comporta da "cryptomalware", allora la protezione andrà ad inibire l'accesso al file system del processo Disattivazione della connessione di rete LAN
  • 18. Esempi di schemi di "comportamento" da CryptoMalware file.doc file.doc (1) (2.a) file.doc file.doc.<new ext> (2.b) file.doc file.doc.<new ext> X (3.a) file.doc <nome casuale> (3.b) file.doc <nome casuale> X (4.a) file.doc <nome casuale>.<ext> (4.b) file.doc <nome casuale>.<ext> X Nome Tipo DirtyDecrypt 1 CryptoLocker 2 CTBLocker 2 CryptoEncoder 2 TeslaCrypt 2 CryptoWall 4.0 3 CryptoLocky 4
  • 19. VirIT VirIT protezione Anti-Crypto Malware Protezione Anti-Crypto Malware: permette di bloccare cryptomalware anche di nuova generazione Backup on-the-fly: backup al volo di file documenti (da 2 KB a 3 MB) in fase di cancellazione, vengono tenuti per 48 ore Disattivazione automatica connessione di rete LAN Protezione da attacco esterno delle cartelle condivise
  • 20. VirIT protezione Anti-Crypto Malware Nome Prot. Anti-Crypto Malware Backup on-the-fly Recupero Chiave privata CryptoLocker Si Si - CTBLocker Si Si - CryptoWall 3.0 Si Si - TeslaCrypt (1.0, 2.0, 3.0, 4.0) Si No Si CryptoEncoder Si No - CryptoFF Si No Si CryptoWall 4.0 Si Si - CryptoCerber Si No - CryptoLocky Si No - HydraCrypt (CryptoXXX) Si No - DMA Locker Si No - Petya No - - Mischa Si No -
  • 21. VirIT protezione Anti-Crypto Malware Simulazione di un attacco da CryptoMalware su macchina virtuale.
  • 22. VirIT protezione Anti-Crypto Malware Statistica Ottobre 2015 Media dei file crittografati su PC / SERVER con la protezione Anti- CryptoMalware integrata in Vir.IT eXplorer PRO 157 Media dei file crittografati con Anti Virus-Malware diverso da Vir.IT 42.452 Efficacia della tecnologia Anti-CryptoMalware integrata in Vir.IT eXplorer PRO 99,63%* * Aspettativa percentuale media di file salvati dalla crittografazione grazie alla protezione Anti-CryptoMalware di Vir.IT eXplore PRO: http://www.tgsoft.it/italy/news_archivio.asp?id=664
  • 23. Backup Il Backup è l'unica soluzione che ci permette di recuperare i nostri file 1. Le copie di "backup" devono essere scollegate dalla rete, per non incorrere nella cifratura da parte del crypto-malware 2. Tenere più copie di "backup" separate 3. Non tenere le copie di "backup" sul NAS, pensando che essendo sotto "linux" siano intaccabili !!! 4. Dropbox e la sincronizzazione: i file cifrati in locale verrano sincronizzati da Dropbox, in questo modo i file originali verranno sostituti con quelli cifrati (tenere uno storico dei backup) VirIT Backup: permette di eseguire copie di "backup" come i tradizionali software, ma queste saranno protette contro la cifratura Punti di criticità dei sistemi di Backup: • Tempo per eseguire il backup o il ripristino dei dati • Copie obsolete
  • 24. E' possibile recuperare i file cifrati ? L'utilizzo di algortimi di cifratura come AES o RSA, rende il recupero dei file cifrati nella maggior parte dei casi di difficile realizzazione, a meno che non si conosca la chiave utilizzata In passato sono state recuperate le chiavi private dal server di C/C, grazie all'ausilio delle forze dell'ordine (sequestro del computer) In alcuni casi gli autori dei crypto-malware hanno commesso degli errori e hanno lasciato dei punti deboli nel loro sistema, come nel caso del TeslaCrypt (versioni precendenti alla 3.0) In altri è possibile recuperare i file cifrati attraverso le shadow copies di Windows (da Vista in su), se queste non sono state cancellate dal crypto-malware. Con software di recupero dati (come Recuva) è possibile ripristinare file "accidentalmente" cancellati
  • 25. TeslaCrypt Per le versioni precedenti alla 3.0 del TeslaCrypt (.vvv e altre) è possibile recuperare i file con i seguenti tool: TeslaDecoder (BloodDolly), TeslaCrack (Googulator) e The Talos TeslaCrypt Decryption Tool (Cisco). Il punto debole delle versioni precendenti alla 3.0 è stato quello di aver reso disponibile il valore session_ecdh_secret_mul: session_ecdh_secret_mul = session_ecdh_secret * session_chiave_privata Il teorema fondamentale dell'aritmetica afferma che: Ogni numero naturale maggiore di 1 o è un numero primo o si può esprimere come prodotto di numeri primi. Tale rappresentazione è unica, se si prescinde dall'ordine in cui compaiono i fattori. = ∗ ∗ ⋯ ∗ Attraverso la fattorizzazione è stato possibile determinare la chiave privata.
  • 26. TeslaCrypt 3.0 e 4.0 Dalla versione 3.0 del TeslaCrypt NON è possibile recuperare i file (senza conoscere la chiave privata), perchè gli autori hanno corretto l'errore introdotto nelle versioni precedenti. La chiave pubblica è un punto della curva ellittica secp256k1 La chiave privata è un numero casuale a 256 bit Progetto chiuso da Maggio 2016 Numero di combinazioni: Totocalcio (13 partite) = 3^13 = 1.594.323 SuperEnalotto = C(90,6) = 622.614.630 Chiave a 256 bit = 115792089237316195423570985008687907853269984665640564039457584007913129639935 0 1,17E+77 Chiave a 256 bit SuperEnalatto Totocalcio Num. Combinazioni Nel 2004 per risolvere una curva ellittica a 109 bit, un team di 2600 persone ha impiegato 17 mesi.
  • 27. Conclusioni Nei primi mesi del 2016 abbiamo visto un impennata di crypto- malware rispetto al 2015 Gli autori sono vere e proprie organizzazioni criminali, che lavorano a livello industriale, sfornando ad ogni ora nuove varianti di Crypto- Malware I classici prodotti AV sono in difficoltà contro queste tipologie di minacce Il recupero dei file cifrati è molto difficile, a meno che non vi siano errori da parte degli autori dei crypto-malware Il riscatto richiesto è una somma "bassa", pagare o non pagare ? Il backup è un'ottima soluzione, ma non sempre viene eseguito oppure quando non viene cifrato può essere obsoleto La protezione pro-attiva Anti-Crypto malware può mitigare l'attacco salvando la vittima
  • 29. Autore Ing. Gianfranco Tonello (g.tonello@viritpro.com) Grazie per l’attenzione https://www.facebook.com/viritexplorer
  • 30. Referenze http://www.tgsoft.it TeslaDecoder: http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to- decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/ TeslaCrack: https://github.com/Googulator/TeslaCrack The Talos TeslaCrypt Decryption Tool: http://blogs.cisco.com/security/talos/teslacrypt Let’s ride with TeslaCrypt: http://thisissecurity.net/2016/03/02/lets-ride-with-teslacrypt/ Il punto debole di Petya Ransomware!: http://www.tgsoft.it/italy/news_archivio.asp?id=718 Petya Ransomware ai raggi X !!!: http://www.tgsoft.it/italy/news_archivio.asp?id=712