A partire dal settembre 2013 si diffondono via email diverse versioni di malware definiti ransomware che infettano computer sui quali è installato Windows e chiedono un riscatto in bitcoin per riavere i propri documenti. Hanno nomi diversi - CryptoLocker, SimpleLocker, CryptorBit, CryptoDefense, CryptoWall, TorrentLocker, CTB-Locker, TeslaCrypt - ma comportamento simile. Con il tempo è stata ridotta la possibilità di ottenere i propri file senza pagare il riscatto in bitcoin ed è stato migliorato il metodo di pagamento che diventa più agevole ma anche meno tracciabile. Nelle slide viene presentata la storia di Cryptolocker, fornite informazioni sul contagio, prevenzione, rimozione del trojan e informazioni su cui si ritiene sia alla base di queste vere e proprie macchine per fare soldi.
La Prevenzione dei Reati Informatici ex D. Lgs 231/01
Cryptolocker, ransomware e ricatti digitali
1. Ransomware e
ricatti digitali
Come prevenirli e – ove possibile – rimediare
senza perdere soldi o dati
Paolo Dal Checco
Consulente Informatico Forense
Forum ICT Security 2015
15 Aprile 2015
2. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Chi sono
¡ Dottorato in Informatica, gruppo di Sicurezza, @unito
¡ Per alcuni anni ricerca e poi CTO in ambito crittografia
¡ Ora consulente Informatico Forense per Procure, Tribunali,
Aziende e Privati in ambito penale e civile
¡ Co-titolare “Digital Forensics Bureau” di Torino
¡ Tra i fondatori della DEFT Association e Osservatorio Nazionale di
Informatica Forense, sviluppatore DEFT Linux,
2
3. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
La (prei)storia (2012)
3
¡ Chi non ha
avuto un
amico o un
parente
che lo ha
preso…
¡ Innocuo,
non
criptava
¡ Modificava
registro o
avvio
4. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Le cose si fanno più serie (2013)
¡ Da settembre 2013 compaiono diverse versioni che infettano PC
con Windows: CryptoLocker, SimpleLocker, CryptorBit,
CryptoDefense, CryptoWall, TorrentLocker, CTB-Locker, TeslaCrypt,
etc…
¡ Il trojan arriva via email, anche da mittenti conosciuti
¡ I documenti vengono criptati davvero, anche quelli in rete
raggiungibili dal PC infettato, viene chiesto un riscatto in bitcoin
(da 300 a 1.000 euro) che aumenta se non si paga subito
¡ Prime versioni con cifratura debole, con alcuni bachi e niente
sovrascrittura reale dei file, col tempo queste “leggerezze”
vengono colmate e il sistema irrobustito
¡ Alcune organizzazioni eseguono infezioni mirate e chiedono 10
volte tanto (episodi molto più rari)
4
5. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Le cose si fanno più serie (2013)
5
Fonte: Google Trends
6. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Cryptolocker (09/2013)
6
7. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Torrentlocker (9/2014)
Corriere della Sera, 11 novembre 2014
7
8. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
TorrentLocker (09/2014)
8
9. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
TorrentLocker (09/2014)
9
10. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
TorrentLocker (09/2014)
10
11. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
CTB-Locker (11/2014)
11
12. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
CTB-Locker (11/2014)
12
13. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Cryptolocker (12/2014)
13
14. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Cryptolocker (12/2014)
14
Pagina acceduta da un Mac
15. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
CryptoLocker (12/2014)
15
Pagina acceduta da un PC Windows
¡ Molte vittime
soprattutto
aziendali, abituate
a ricevere
spedizioni dei
corrieri
¡ SDA ovviamente
non è in alcun
modo coinvolta
16. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
CryptoLocker (12/2014)
16
¡ I trojan usano Tor
(sistema di
connessione
anonima)
¡ I domini che
ospitano I C&C
sono generati
tramite algoritmi a
tempo di
esecuzione (DGA)
¡ Indirizzi Bitcoin
diversi per ogni
vittima
domini codificati
domini generati
17. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Crypt0L0cker (03/2015)
17
¡ I trojan si diffondono…
via PEC!
¡ Usano URL shortener (es.
Bit.ly) per arrivare al sito
¡ E usano il cloud per
memorizzare il trojan
(Dropbox, Copy)
http://meWkdS.l1.gs/bvs0Ba6b
http://sda-express.com/track.php?id=
https://copy.com/iEqABYCif17Gl9Hc/pacchetto_829302018.zip
18. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Crypt0L0cker (03/2015)
19. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Crypt0L0cker (03/15)
19
20. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Crypt0L0cker (03/15)
20
21. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Crypt0L0cker (03/15)
21
22. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Crypt0L0cker (03/15)
22
23. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Crypt0L0cker (03/15)
23
24. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Crypt0L0cker (03/15)
24
25. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Diffusione di Cryptolocker (dati parziali)
¡ 500.000 vittime di cui 1.3% hanno pagato il riscatto
25
26. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Diffusione di Torrentlocker (dati parziali)
26
Fonte: ESET
27. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Fonte del contagio
¡ Avvio di un programma contenuto in ZIP, PF, EXE, SCR, DOC, XLS
¡ Programma contenuto in:
¡ Allegato ad email che parla di fatture, rimborsi, note di credito,
spedizioni SDA, etc… anche proveniente da contatti noti
¡ Link alla mail
¡ Download da sito web di finto corriere il cui link è contenuto
nell’email ricevuta
¡ Se non si apre l’allegato non si corrono rischi
27
28. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Come mai si diffonde così bene?
28
¡ Nessun antivirus lo
rileva nelle prime
ore di diffusione
¡ Tramite
polimorfismo il
trojan si modifica
ad ogni ondata
29. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Come mai si diffonde così bene?
29
¡ Dopo un giorno…
30. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Come mai si diffonde così bene?
30
¡ Dopo una
settimana…
31. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Prevenzione
¡ Backup (offline)
¡ Antivirus aggiornato (non basta)
¡ Firewall (bloccare domini noti, IP dei Command & Control, Tor)
¡ Mail filter (bloccare mail con
allegati exe, pf, scr, etc…)
¡ Group policies o sistemi avanzati
come CryptoPrevent
(www.foolishit.com/
vb6-projects/cryptoprevent/)
31
32. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Prevenzione
¡ Ma anche “semplicemente” non aprire allegati anche
provenienti da contatti noti se non prima verificandoli su:
¡ Microsoft Word/Excel Viewer (per file DOC/CLS con macro)
¡ http://www.pdfonlinereader.com o simili (per PDF)
¡ hybrid-analysis.com o malwr.com (ottime sandbox e analisi di rete)
¡ www.virustotal.com (56 antivirus)
¡ urlquery.net (analisi eventuali link a siti web o archivi zip)
32
33. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Reazione e rimozione
¡ In caso di cifratura di file in rete, identificare il PC contagiato
¡ Verificare se è già presente il file con la richiesta di riscatto
¡ “!Decrypt-All-Files-jgzfmim.bmp”, “DECRYPT_INSTRUCTIONS.html”,
“ISTRUZIONI_DECRITTAZIONE.html”
¡ Scollegare gli altri computer in rete ed eventualmente il PC infetto
¡ In base a come si intende procedere e se è terminata la cifratura
¡ Attenti con la rimozione di Cryptolocker: è la parte più “facile”, il problema
è che i dati rimangono criptati
¡ Prima di spegnere il PC, acquisire la RAM tramite software free come FTK
Imager (può essere utile in seguito)
¡ Dopo la rimozione/recupero, reinstallare tutto
¡ Cambiare credenziali memorizzate sul PC infettato
33
34. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Come riottenere i propri documenti
¡ Recupero da backup
¡ Recupero da Cloud (Dropbox/Gdrive, etc…)
¡ Tentare con le shadow copies (Shadow Explorer)
¡ Tentare con il carving (Photorec/recuva/R-Studio)
¡ Siti web www.decryptcryptolocker.com (OBSOLETO)
¡ Software di decryption Bleeping Computer (OBSOLETI)
¡ Cambiare Euro in BTC… :-/
34
35. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Chi c’è dietro?
35
36. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Chi c’è dietro?
36
http://www.fbi.gov/news/stories/2014/june/gameover-zeus-botnet-disrupted/documents/complaint
37. Milano, 15 aprile 2015
Paolo Dal Checco Ransomware e ricatti digitali
Bibliografia
¡ www.bleepingcomputer.com
¡ www.eset.com
¡ www.interno.gov.it
¡ www.fireeye.com
37