SlideShare une entreprise Scribd logo

Checkmate to crypto malware. Scacco matto ai crypto malware

Gianfranco Tonello
Gianfranco Tonello

How defeat the crypto-malware as CryptoLocker, CryptoWall, CTBLocker, TeslaCrypt and CryptoLocky. In this presentation we shows as VirIT can block the process of crypto-malware, while the malware is encrypting the file of documents and we can save the files that remain. You can see the video of youtube: https://youtu.be/_SyKqqZu6-8

Logiciels
1  sur  30
Télécharger pour lire hors ligne
Scacco matto ai Crypto-Malware! Come mettere al sicuro i nostri dati più preziosi. Ing. Gianfranco Tonello
Scacco matto ai Crypto-malware! Presentazione e della slide
Ransomware: cosa sono ? Con il termine Ransomware definiamo tutti quei programmi o software che bloccano l’accesso ai file di documenti o al computer chiedendo un riscatto in denaro per accedervi. Esempi di Ransomware: Trojan.Win32.FakeGdF Crypto-Malware
Crypto-Malware: cosa sono ? Con il termine Crypto-Malware definiamo un ransomware che va a cifrare i file di documenti o dati attraverso una password (chiave), rendendo impossibile l’accesso fino al pagamento di un riscatto in denaro. 2013-07 DirtyDecrypt 2013-06 UltraCode 2013-03 ACCDFISA 2012-12 DocEncrypter 2013-09 CryptoLocker 2014-09 TrueCrypt 2014-04 CryptoDefense CryptoWall 2014-07 CTBLocker 2015-02 TeslaCrypt 2015-03 CryptoWall 3.0 2015-09 CryptoWall 4.0 2015-09 TeslaCrypt 2.0 CryptoFF 2016-01 TeslaCrypt 3.0 2016-02 CryptoLocky 2014-10 CryptoEncoder VaultCrypt 2012 2013 2014 2015 2016
Metodo di diffusione via email (ingegneria sociale) drive-by-download siti infettati (utilizzo di vulnerabilità) altri malware TeslaCrypt 3.0 4000 account SMTP compromessi 45 milioni di indirizzi email
CryptoLocker - TorrentLocker anno: 2013 settembre estensione: .encrypted algoritmo: AES riscatto: 300/600 euro (in bitcoin) rete: Tor-Onion
CryptoWall anno: 2014 aprile estensione: <casuale> algoritmo: RSA-2048 riscatto: 500/1000 USD (in bitcoin) rete: Tor-Onion versione: 4.0
CTBLocker: Curve Tor Bitcoin Locker anno: 2014 luglio estensione: .<casuale di 7 char> algoritmo: AES riscatto: 2 BTC rete: Tor-Onion
TeslaCrypt anno: 2015 febbraio estensioni: .micro, .mp3 (varie) algoritmo: AES riscatto: 500/1000 USD (in bitcoin) rete: Tor-Onion versione: 3.0
CryptoLocky anno: 2016 febbraio estensioni: .locky algoritmo: RSA - AES riscatto: 0,5 – 1 – 3 BTC rete: Tor-Onion
Come funziona il CryptoMalware email o sito infetto esecuzione cryptomalware invio/ricezione della chiave al/dal server C/C cifratura documenti locali e di rete richiesta riscatto
Statistiche: da Luglio a Dicembre 2015 (Italy) 0 50 100 150 Luglio Agosto Settembre Ottobre Novembre Dicembre 129 54 48 75 142 126 Numero di casi da Luglio a Dicembre 2015: 574 0 20 40 60 80 100 120 140 160 180 CryptoEncoder CryptoFF CryptoFile BIG CryptoLocker CryptoVault CryptoWall 3.0 CryptoWall 4.0 CTBLocker TeslaCrypt 52 5 1 176 2 143 40 37 118
Statistiche: Gennaio 2016 (Italy) 5 5 8 7 7 7 16 50 8 5 15 28 0 10 20 30 40 50 60 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 Dist. temporale: num. casi al giornoNum. casi: 188 0 20 40 60 80 100 120 TeslaCrypt CTBLocker CryptoWall 4.0 CryptoLocker CryptoEncoder 118 8 27 19 16
Statistiche: Febbraio 2016 (Italy) 164 47 78 24 13 14 8 9 12 50 28 14 0 50 100 150 200 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 Dist. temporale: num. casi al giornoNum. casi: 536 0 50 100 150 200 250 300 350 400 450 TeslaCrypt CTBLocker CryptoWall 4.0 CryptoLocky CryptoLocker CryptoEncoder 440 4 22 13 46 11
Considerazioni sui CryptoMalware Il CryptoMalware è una minaccia ATIPICA rispetto a quelle tradizionali (Trojan.Banker, Rootkit, Backdoor, Adware, Virus, etc) organizzazioni criminali guadagnare soldi (estorsione, richiesta piccola somma) non rintracciabili: moneta bitcoin – conti anonimi rilascio di nuove varianti di cryptomalware ad ogni ora Al cryptomalware è sufficiente essere eseguito solo 1 volta !!! Al termine della cifratura si cancella Può colpire anche i computer in rete
Come mi difendo (1) Bloccare il CryptoMalware prima che arrivi sul PC o che venga eseguito (anti-virus) (2) Mitigazione dell'attacco: Protezione Anti-Crypto Malware (3) Backup (4) Recuperare i file cifrati (1) Cifratura dei file in corso… (2) (4) (3)
Mitigazione dell'attacco: protezione Anti-Crypto Malware E' un approccio euristico, che va ad analizzare il "comportamento" dei processi Se il processo si comporta da "cryptomalware", allora la protezione andrà ad inibire l'accesso al file system del processo Disattivazione della connessione di rete LAN
Esempi di schemi di "comportamento" da CryptoMalware file.doc file.doc (1) (2.a) file.doc file.doc.<new ext> (2.b) file.doc file.doc.<new ext> X (3.a) file.doc <nome casuale> (3.b) file.doc <nome casuale> X (4.a) file.doc <nome casuale>.<ext> (4.b) file.doc <nome casuale>.<ext> X Nome Tipo DirtyDecrypt 1 CryptoLocker 2 CTBLocker 2 CryptoEncoder 2 TeslaCrypt 2 CryptoWall 4.0 3 CryptoLocky 4
VirIT VirIT protezione Anti-Crypto Malware Protezione Anti-Crypto Malware: permette di bloccare cryptomalware anche di nuova generazione Backup on-the-fly: backup al volo di file documenti (da 2 KB a 3 MB) in fase di cancellazione, vengono tenuti per 48 ore Disattivazione automatica connessione di rete LAN Protezione da attacco esterno delle cartelle condivise
VirIT protezione Anti-Crypto Malware Nome Prot. Anti-Crypto Malware Backup on-the-fly Recupero Chiave privata CryptoLocker Si Si - CTBLocker Si Si - CryptoWall 3.0 Si Si - TeslaCrypt (1.0, 2.0, 3.0) Si No Si CryptoEncoder Si No - CryptoFF Si No Si CryptoWall 4.0 Si Si - CryptoLocky Si No -
VirIT protezione Anti-Crypto Malware Simulazione di un attacco da CryptoMalware su macchina virtuale. Video su youtube: https://youtu.be/_SyKqqZu6-8
VirIT protezione Anti-Crypto Malware Statistica Ottobre 2015 Media dei file crittografati su PC / SERVER con la protezione Anti- CryptoMalware integrata in Vir.IT eXplorer PRO 157 Media dei file crittografati con Anti Virus-Malware diverso da Vir.IT 42.452 Efficacia della tecnologia Anti-CryptoMalware integrata in Vir.IT eXplorer PRO 99,63%* * Aspettativa percentuale media di file salvati dalla crittografazione grazie alla protezione Anti-CryptoMalware di Vir.IT eXplore PRO: http://www.tgsoft.it/italy/news_archivio.asp?id=664
Backup Il Backup è l'unica soluzione che ci permette di recuperare i nostri file 1. Le copie di "backup" devono essere scollegate dalla rete, per non incorrere nella cifratura da parte del crypto-malware 2. Tenere più copie di "backup" separate 3. Non tenere le copie di "backup" sul NAS, pensando che essendo sotto "linux" siano intaccabili !!! 4. Dropbox e la sincronizzazione: i file cifrati in locale verrano sincronizzati da Dropbox, in questo modo i file originali verranno sostituti con quelli cifrati VirIT Backup: permette di eseguire copie di "backup" come i tradizionali software, ma queste saranno protette contro la cifratura Punti di criticità dei sistemi di Backup: • Tempo per eseguire il backup o il ripristino dei dati • Copie obsolete
E' possibile recuperare i file cifrati ? L'utilizzo di algortimi di cifratura come AES o RSA, rende il recupero dei file cifrati nella maggior parte dei casi di difficile realizzazione, a meno che non si conosca la chiave utilizzata In passato sono state recuperate le chiavi private dal server di C/C, grazie all'ausilio delle forze dell'ordine (sequestro del computer) In alcuni casi gli autori dei crypto-malware hanno commesso degli errori e hanno lasciato dei punti deboli nel loro sistema, come nel caso del TeslaCrypt (versioni precendenti alla 3.0) In altri è possibile recuperare i file cifrati attraverso le shadow copies di Windows (da Vista in su), se queste non sono state cancellate dal crypto-malware. Con software di recupero dati (come Recuva) è possibile ripristinare file "accidentalmente" cancellati
TeslaCrypt Per le versioni precedenti alla 3.0 del TeslaCrypt (.vvv e altre) è possibile recuperare i file con i seguenti tool: TeslaDecoder (BloodDolly), TeslaCrack (Googulator) e The Talos TeslaCrypt Decryption Tool (Cisco). Il punto debole delle versioni precendenti alla 3.0 è stato quello di aver reso disponibile il valore session_ecdh_secret_mul: session_ecdh_secret_mul = session_ecdh_secret * session_chiave_privata Il teorema fondamentale dell'aritmetica afferma che: Ogni numero naturale maggiore di 1 o è un numero primo o si può esprimere come prodotto di numeri primi. Tale rappresentazione è unica, se si prescinde dall'ordine in cui compaiono i fattori. = ∗ ∗ ⋯ ∗ Attraverso la fattorizzazione è stato possibile determinare la chiave privata.
TeslaCrypt 3.0 Dalla versione 3.0 del TeslaCrypt (.micro e .mp3) NON è possibile recuperare i file (senza conoscere la chiave privata), perchè gli autori hanno corretto l'errore introdotto nelle versioni precedenti. La chiave privata è un numero casuale a 256 bit La chiave pubblica è un punto della curva ellittica secp256k1 Numero di combinazioni: Totocalcio (13 partite) = 3^13 = 1594323 SuperEnalotto = C(90,6) = 622614630 Chiave a 256 bit = 115792089237316195423570985008687907853269984665640564039457584007913129639935 0 1,17E+77 Chiave a 256 bit SuperEnalatto Totocalcio Num. Combinazioni Nel 2004 per risolvere una curva ellittica a 109 bit, un team di 2600 persone ha impiegato 17 mesi.
Conclusioni Nei primi 2 mesi del 2016 abbiamo visto un impennata di crypto- malware rispetto al 2015 Gli autori sono vere e proprie organizzazioni criminali, che lavorano a livello industriale, sfornando ad ogni ora nuove varianti di Crypto- Malware I classici prodotti AV sono in difficoltà contro queste tipologie di minacce Il recupero dei file cifrati è molto difficile, a meno che non vi siano errori da parte degli autori dei crypto-malware Il riscatto richiesto è una somma "bassa", pagare o non pagare ? Il backup è un'ottima soluzione, ma non sempre viene eseguito oppure quando non viene cifrato può essere obsoleto La protezione pro-attiva Anti-Crypto malware può mitigare l'attacco salvando la vittima
Domande
Autore Ing. Gianfranco Tonello (g.tonello@viritpro.com) https://it.linkedin.com/in/gianfranco-tonello-77078843 Grazie per l’attenzione https://www.facebook.com/viritexplorer
Referenze http://www.tgsoft.it https://www.youtube.com/watch?v=_SyKqqZu6-8&feature=youtu.be TeslaDecoder: http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to- decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/ TeslaCrack: https://github.com/Googulator/TeslaCrack The Talos TeslaCrypt Decryption Tool: http://blogs.cisco.com/security/talos/teslacrypt Let’s ride with TeslaCrypt: http://thisissecurity.net/2016/03/02/lets-ride-with-teslacrypt/

Recommandé

Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Gianfranco Tonello
 
Hacking reti wireless
Hacking reti wirelessHacking reti wireless
Hacking reti wirelessCe.Se.N.A. Security
 
Il tuo router è sicuro?!
Il tuo router è sicuro?!Il tuo router è sicuro?!
Il tuo router è sicuro?!Raffaele Sommese
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 
Il venerdì nero di wannacry
Il venerdì nero di wannacryIl venerdì nero di wannacry
Il venerdì nero di wannacryGianni Amato
 
Cyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiCyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiMarco Ferrigno
 
Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Gianni Amato
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
 

Recommandé

Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Gianfranco Tonello
 
Hacking reti wireless
Hacking reti wirelessHacking reti wireless
Hacking reti wirelessCe.Se.N.A. Security
 
Il tuo router è sicuro?!
Il tuo router è sicuro?!Il tuo router è sicuro?!
Il tuo router è sicuro?!Raffaele Sommese
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 
Il venerdì nero di wannacry
Il venerdì nero di wannacryIl venerdì nero di wannacry
Il venerdì nero di wannacryGianni Amato
 
Cyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiCyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiMarco Ferrigno
 
Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Gianni Amato
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
 
Malware Detection using Machine Learning
Malware Detection using Machine Learning Malware Detection using Machine Learning
Malware Detection using Machine Learning Cysinfo Cyber Security Community
 
Malware Detection Using Machine Learning Techniques
Malware Detection Using Machine Learning TechniquesMalware Detection Using Machine Learning Techniques
Malware Detection Using Machine Learning TechniquesArshadRaja786
 
Cognitive Computing in Security with AI
Cognitive Computing in Security with AI Cognitive Computing in Security with AI
Cognitive Computing in Security with AI JoAnna Cheshire
 
Adversarial machine learning for av software
Adversarial machine learning for av softwareAdversarial machine learning for av software
Adversarial machine learning for av softwarejunseok seo
 
AI approach to malware similarity analysis: Maping the malware genome with a...
AI approach to malware similarity analysis: Maping the malware genome with a...AI approach to malware similarity analysis: Maping the malware genome with a...
AI approach to malware similarity analysis: Maping the malware genome with a...Priyanka Aash
 
Machine Learning for Malware Classification and Clustering
Machine Learning for Malware Classification and ClusteringMachine Learning for Malware Classification and Clustering
Machine Learning for Malware Classification and ClusteringEndgameInc
 
Battling Unknown Malware with Machine Learning
Battling Unknown Malware with Machine Learning Battling Unknown Malware with Machine Learning
Battling Unknown Malware with Machine Learning CrowdStrike
 
Automated In-memory Malware/Rootkit Detection via Binary Analysis and Machin...
Automated In-memory Malware/Rootkit Detection via Binary Analysis and Machin...Automated In-memory Malware/Rootkit Detection via Binary Analysis and Machin...
Automated In-memory Malware/Rootkit Detection via Binary Analysis and Machin...Malachi Jones
 
In that case, we have an OWASP Top 10 opportunity...
In that case, we have an OWASP Top 10 opportunity...In that case, we have an OWASP Top 10 opportunity...
In that case, we have an OWASP Top 10 opportunity...Josh Grossman
 
Talha Obaid, Email Security, Symantec at MLconf ATL 2017
Talha Obaid, Email Security, Symantec at MLconf ATL 2017Talha Obaid, Email Security, Symantec at MLconf ATL 2017
Talha Obaid, Email Security, Symantec at MLconf ATL 2017MLconf
 
Scacco matto ai crytpo malware (smau 2016 - bologna)
Scacco matto ai crytpo malware (smau 2016 - bologna)Scacco matto ai crytpo malware (smau 2016 - bologna)
Scacco matto ai crytpo malware (smau 2016 - bologna)Gianfranco Tonello
 
Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Marco Ferrigno
 
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdfDodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdfHelpRansomware
 
Devianze
DevianzeDevianze
Devianzescrivano
 
Ibm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniIbm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniS.info Srl
 
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...Team per la Trasformazione Digitale
 
Marco Casario - Blockchain, Bitcoin, Ethereum e Javascript Mining: Monetizzar...
Marco Casario - Blockchain, Bitcoin, Ethereum e Javascript Mining: Monetizzar...Marco Casario - Blockchain, Bitcoin, Ethereum e Javascript Mining: Monetizzar...
Marco Casario - Blockchain, Bitcoin, Ethereum e Javascript Mining: Monetizzar...Codemotion
 
Blockchain, Bitcoin, Ethereum e Javascript Mining: Monetizzare le proprie Ski...
Blockchain, Bitcoin, Ethereum e Javascript Mining: Monetizzare le proprie Ski...Blockchain, Bitcoin, Ethereum e Javascript Mining: Monetizzare le proprie Ski...
Blockchain, Bitcoin, Ethereum e Javascript Mining: Monetizzare le proprie Ski...Codemotion
 
Security and hacking Engineering
Security and hacking EngineeringSecurity and hacking Engineering
Security and hacking EngineeringNaLUG
 
Tutto Quello Che Devi Sapere Su Cryptolocker.pdf
Tutto Quello Che Devi Sapere Su Cryptolocker.pdfTutto Quello Che Devi Sapere Su Cryptolocker.pdf
Tutto Quello Che Devi Sapere Su Cryptolocker.pdfHelpRansomware
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration TestSalvatore Lentini
 
Data hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceData hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceMarco Ferrigno
 

Contenu connexe

En vedette

Malware Detection Using Machine Learning Techniques
Malware Detection Using Machine Learning TechniquesMalware Detection Using Machine Learning Techniques
Malware Detection Using Machine Learning TechniquesArshadRaja786
 
Cognitive Computing in Security with AI
Cognitive Computing in Security with AI Cognitive Computing in Security with AI
Cognitive Computing in Security with AI JoAnna Cheshire
 
Adversarial machine learning for av software
Adversarial machine learning for av softwareAdversarial machine learning for av software
Adversarial machine learning for av softwarejunseok seo
 
AI approach to malware similarity analysis: Maping the malware genome with a...
AI approach to malware similarity analysis: Maping the malware genome with a...AI approach to malware similarity analysis: Maping the malware genome with a...
AI approach to malware similarity analysis: Maping the malware genome with a...Priyanka Aash
 
Machine Learning for Malware Classification and Clustering
Machine Learning for Malware Classification and ClusteringMachine Learning for Malware Classification and Clustering
Machine Learning for Malware Classification and ClusteringEndgameInc
 
Battling Unknown Malware with Machine Learning
Battling Unknown Malware with Machine Learning Battling Unknown Malware with Machine Learning
Battling Unknown Malware with Machine Learning CrowdStrike
 
Automated In-memory Malware/Rootkit Detection via Binary Analysis and Machin...
Automated In-memory Malware/Rootkit Detection via Binary Analysis and Machin...Automated In-memory Malware/Rootkit Detection via Binary Analysis and Machin...
Automated In-memory Malware/Rootkit Detection via Binary Analysis and Machin...Malachi Jones
 
In that case, we have an OWASP Top 10 opportunity...
In that case, we have an OWASP Top 10 opportunity...In that case, we have an OWASP Top 10 opportunity...
In that case, we have an OWASP Top 10 opportunity...Josh Grossman
 
Talha Obaid, Email Security, Symantec at MLconf ATL 2017
Talha Obaid, Email Security, Symantec at MLconf ATL 2017Talha Obaid, Email Security, Symantec at MLconf ATL 2017
Talha Obaid, Email Security, Symantec at MLconf ATL 2017MLconf
 

En vedette (10)

Malware Detection using Machine Learning
Malware Detection using Machine Learning Malware Detection using Machine Learning
Malware Detection using Machine Learning
 
Malware Detection Using Machine Learning Techniques
Malware Detection Using Machine Learning TechniquesMalware Detection Using Machine Learning Techniques
Malware Detection Using Machine Learning Techniques
 
Cognitive Computing in Security with AI
Cognitive Computing in Security with AI Cognitive Computing in Security with AI
Cognitive Computing in Security with AI
 
Adversarial machine learning for av software
Adversarial machine learning for av softwareAdversarial machine learning for av software
Adversarial machine learning for av software
 
AI approach to malware similarity analysis: Maping the malware genome with a...
AI approach to malware similarity analysis: Maping the malware genome with a...AI approach to malware similarity analysis: Maping the malware genome with a...
AI approach to malware similarity analysis: Maping the malware genome with a...
 
Machine Learning for Malware Classification and Clustering
Machine Learning for Malware Classification and ClusteringMachine Learning for Malware Classification and Clustering
Machine Learning for Malware Classification and Clustering
 
Battling Unknown Malware with Machine Learning
Battling Unknown Malware with Machine Learning Battling Unknown Malware with Machine Learning
Battling Unknown Malware with Machine Learning
 
Automated In-memory Malware/Rootkit Detection via Binary Analysis and Machin...
Automated In-memory Malware/Rootkit Detection via Binary Analysis and Machin...Automated In-memory Malware/Rootkit Detection via Binary Analysis and Machin...
Automated In-memory Malware/Rootkit Detection via Binary Analysis and Machin...
 
In that case, we have an OWASP Top 10 opportunity...
In that case, we have an OWASP Top 10 opportunity...In that case, we have an OWASP Top 10 opportunity...
In that case, we have an OWASP Top 10 opportunity...
 
Talha Obaid, Email Security, Symantec at MLconf ATL 2017
Talha Obaid, Email Security, Symantec at MLconf ATL 2017Talha Obaid, Email Security, Symantec at MLconf ATL 2017
Talha Obaid, Email Security, Symantec at MLconf ATL 2017
 

Similaire à Checkmate to crypto malware. Scacco matto ai crypto malware

Scacco matto ai crytpo malware (smau 2016 - bologna)
Scacco matto ai crytpo malware (smau 2016 - bologna)Scacco matto ai crytpo malware (smau 2016 - bologna)
Scacco matto ai crytpo malware (smau 2016 - bologna)Gianfranco Tonello
 
Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Marco Ferrigno
 
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdfDodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdfHelpRansomware
 
Ibm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniIbm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniS.info Srl
 
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...Team per la Trasformazione Digitale
 
Marco Casario - Blockchain, Bitcoin, Ethereum e Javascript Mining: Monetizzar...
Marco Casario - Blockchain, Bitcoin, Ethereum e Javascript Mining: Monetizzar...Marco Casario - Blockchain, Bitcoin, Ethereum e Javascript Mining: Monetizzar...
Marco Casario - Blockchain, Bitcoin, Ethereum e Javascript Mining: Monetizzar...Codemotion
 
Blockchain, Bitcoin, Ethereum e Javascript Mining: Monetizzare le proprie Ski...
Blockchain, Bitcoin, Ethereum e Javascript Mining: Monetizzare le proprie Ski...Blockchain, Bitcoin, Ethereum e Javascript Mining: Monetizzare le proprie Ski...
Blockchain, Bitcoin, Ethereum e Javascript Mining: Monetizzare le proprie Ski...Codemotion
 
Security and hacking Engineering
Security and hacking EngineeringSecurity and hacking Engineering
Security and hacking EngineeringNaLUG
 
Tutto Quello Che Devi Sapere Su Cryptolocker.pdf
Tutto Quello Che Devi Sapere Su Cryptolocker.pdfTutto Quello Che Devi Sapere Su Cryptolocker.pdf
Tutto Quello Che Devi Sapere Su Cryptolocker.pdfHelpRansomware
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration TestSalvatore Lentini
 
Data hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceData hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceMarco Ferrigno
 
(in)Sicurezze delle reti wireless 802.11b
(in)Sicurezze delle reti wireless 802.11b(in)Sicurezze delle reti wireless 802.11b
(in)Sicurezze delle reti wireless 802.11bAlfredo Morresi
 
festival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2013: Alla ricerca della pendrive perdutafestival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2013: Alla ricerca della pendrive perdutafestival ICT 2016
 
Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Massimo Chirivì
 
Data Hiding
Data HidingData Hiding
Data HidingNaLUG
 
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...Antonio Musarra
 
Evento 18 giugno - Ibm sicurezza - parte a - problematiche
Evento 18 giugno - Ibm sicurezza - parte a - problematiche Evento 18 giugno - Ibm sicurezza - parte a - problematiche
Evento 18 giugno - Ibm sicurezza - parte a - problematiche PRAGMA PROGETTI
 
Difendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open sourceDifendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open sourceGianluca Vaglio
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Studio Fiorenzi Security & Forensics
 

Similaire à Checkmate to crypto malware. Scacco matto ai crypto malware (20)

Scacco matto ai crytpo malware (smau 2016 - bologna)
Scacco matto ai crytpo malware (smau 2016 - bologna)Scacco matto ai crytpo malware (smau 2016 - bologna)
Scacco matto ai crytpo malware (smau 2016 - bologna)
 
Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...
 
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdfDodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
 
Devianze
DevianzeDevianze
Devianze
 
Ibm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniIbm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioni
 
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
 
Marco Casario - Blockchain, Bitcoin, Ethereum e Javascript Mining: Monetizzar...
Marco Casario - Blockchain, Bitcoin, Ethereum e Javascript Mining: Monetizzar...Marco Casario - Blockchain, Bitcoin, Ethereum e Javascript Mining: Monetizzar...
Marco Casario - Blockchain, Bitcoin, Ethereum e Javascript Mining: Monetizzar...
 
Blockchain, Bitcoin, Ethereum e Javascript Mining: Monetizzare le proprie Ski...
Blockchain, Bitcoin, Ethereum e Javascript Mining: Monetizzare le proprie Ski...Blockchain, Bitcoin, Ethereum e Javascript Mining: Monetizzare le proprie Ski...
Blockchain, Bitcoin, Ethereum e Javascript Mining: Monetizzare le proprie Ski...
 
Security and hacking Engineering
Security and hacking EngineeringSecurity and hacking Engineering
Security and hacking Engineering
 
Tutto Quello Che Devi Sapere Su Cryptolocker.pdf
Tutto Quello Che Devi Sapere Su Cryptolocker.pdfTutto Quello Che Devi Sapere Su Cryptolocker.pdf
Tutto Quello Che Devi Sapere Su Cryptolocker.pdf
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration Test
 
Data hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceData hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open source
 
(in)Sicurezze delle reti wireless 802.11b
(in)Sicurezze delle reti wireless 802.11b(in)Sicurezze delle reti wireless 802.11b
(in)Sicurezze delle reti wireless 802.11b
 
festival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2013: Alla ricerca della pendrive perdutafestival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2013: Alla ricerca della pendrive perduta
 
Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...
 
Data Hiding
Data HidingData Hiding
Data Hiding
 
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...
 
Evento 18 giugno - Ibm sicurezza - parte a - problematiche
Evento 18 giugno - Ibm sicurezza - parte a - problematiche Evento 18 giugno - Ibm sicurezza - parte a - problematiche
Evento 18 giugno - Ibm sicurezza - parte a - problematiche
 
Difendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open sourceDifendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open source
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
 

Plus de Gianfranco Tonello

Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018Gianfranco Tonello
 
Bootkits are not dead, Pitou is back!
Bootkits are not dead, Pitou is back!Bootkits are not dead, Pitou is back!
Bootkits are not dead, Pitou is back!Gianfranco Tonello
 
Petya Ransomware: sotto i riflettori
Petya Ransomware: sotto i riflettoriPetya Ransomware: sotto i riflettori
Petya Ransomware: sotto i riflettoriGianfranco Tonello
 
Tutto quello che avreste voluto sapere sui malware android
Tutto quello che avreste voluto sapere sui malware androidTutto quello che avreste voluto sapere sui malware android
Tutto quello che avreste voluto sapere sui malware androidGianfranco Tonello
 
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...Gianfranco Tonello
 
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Gianfranco Tonello
 
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Gianfranco Tonello
 
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Gianfranco Tonello
 

Plus de Gianfranco Tonello (8)

Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
 
Bootkits are not dead, Pitou is back!
Bootkits are not dead, Pitou is back!Bootkits are not dead, Pitou is back!
Bootkits are not dead, Pitou is back!
 
Petya Ransomware: sotto i riflettori
Petya Ransomware: sotto i riflettoriPetya Ransomware: sotto i riflettori
Petya Ransomware: sotto i riflettori
 
Tutto quello che avreste voluto sapere sui malware android
Tutto quello che avreste voluto sapere sui malware androidTutto quello che avreste voluto sapere sui malware android
Tutto quello che avreste voluto sapere sui malware android
 
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
 
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
 
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
 
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
 

Checkmate to crypto malware. Scacco matto ai crypto malware

  • 1. Scacco matto ai Crypto-Malware! Come mettere al sicuro i nostri dati più preziosi. Ing. Gianfranco Tonello
  • 2. Scacco matto ai Crypto-malware! Presentazione e della slide
  • 3. Ransomware: cosa sono ? Con il termine Ransomware definiamo tutti quei programmi o software che bloccano l’accesso ai file di documenti o al computer chiedendo un riscatto in denaro per accedervi. Esempi di Ransomware: Trojan.Win32.FakeGdF Crypto-Malware
  • 4. Crypto-Malware: cosa sono ? Con il termine Crypto-Malware definiamo un ransomware che va a cifrare i file di documenti o dati attraverso una password (chiave), rendendo impossibile l’accesso fino al pagamento di un riscatto in denaro. 2013-07 DirtyDecrypt 2013-06 UltraCode 2013-03 ACCDFISA 2012-12 DocEncrypter 2013-09 CryptoLocker 2014-09 TrueCrypt 2014-04 CryptoDefense CryptoWall 2014-07 CTBLocker 2015-02 TeslaCrypt 2015-03 CryptoWall 3.0 2015-09 CryptoWall 4.0 2015-09 TeslaCrypt 2.0 CryptoFF 2016-01 TeslaCrypt 3.0 2016-02 CryptoLocky 2014-10 CryptoEncoder VaultCrypt 2012 2013 2014 2015 2016
  • 5. Metodo di diffusione via email (ingegneria sociale) drive-by-download siti infettati (utilizzo di vulnerabilità) altri malware TeslaCrypt 3.0 4000 account SMTP compromessi 45 milioni di indirizzi email
  • 6. CryptoLocker - TorrentLocker anno: 2013 settembre estensione: .encrypted algoritmo: AES riscatto: 300/600 euro (in bitcoin) rete: Tor-Onion
  • 7. CryptoWall anno: 2014 aprile estensione: <casuale> algoritmo: RSA-2048 riscatto: 500/1000 USD (in bitcoin) rete: Tor-Onion versione: 4.0
  • 8. CTBLocker: Curve Tor Bitcoin Locker anno: 2014 luglio estensione: .<casuale di 7 char> algoritmo: AES riscatto: 2 BTC rete: Tor-Onion
  • 9. TeslaCrypt anno: 2015 febbraio estensioni: .micro, .mp3 (varie) algoritmo: AES riscatto: 500/1000 USD (in bitcoin) rete: Tor-Onion versione: 3.0
  • 10. CryptoLocky anno: 2016 febbraio estensioni: .locky algoritmo: RSA - AES riscatto: 0,5 – 1 – 3 BTC rete: Tor-Onion
  • 11. Come funziona il CryptoMalware email o sito infetto esecuzione cryptomalware invio/ricezione della chiave al/dal server C/C cifratura documenti locali e di rete richiesta riscatto
  • 12. Statistiche: da Luglio a Dicembre 2015 (Italy) 0 50 100 150 Luglio Agosto Settembre Ottobre Novembre Dicembre 129 54 48 75 142 126 Numero di casi da Luglio a Dicembre 2015: 574 0 20 40 60 80 100 120 140 160 180 CryptoEncoder CryptoFF CryptoFile BIG CryptoLocker CryptoVault CryptoWall 3.0 CryptoWall 4.0 CTBLocker TeslaCrypt 52 5 1 176 2 143 40 37 118
  • 13. Statistiche: Gennaio 2016 (Italy) 5 5 8 7 7 7 16 50 8 5 15 28 0 10 20 30 40 50 60 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 Dist. temporale: num. casi al giornoNum. casi: 188 0 20 40 60 80 100 120 TeslaCrypt CTBLocker CryptoWall 4.0 CryptoLocker CryptoEncoder 118 8 27 19 16
  • 14. Statistiche: Febbraio 2016 (Italy) 164 47 78 24 13 14 8 9 12 50 28 14 0 50 100 150 200 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 Dist. temporale: num. casi al giornoNum. casi: 536 0 50 100 150 200 250 300 350 400 450 TeslaCrypt CTBLocker CryptoWall 4.0 CryptoLocky CryptoLocker CryptoEncoder 440 4 22 13 46 11
  • 15. Considerazioni sui CryptoMalware Il CryptoMalware è una minaccia ATIPICA rispetto a quelle tradizionali (Trojan.Banker, Rootkit, Backdoor, Adware, Virus, etc) organizzazioni criminali guadagnare soldi (estorsione, richiesta piccola somma) non rintracciabili: moneta bitcoin – conti anonimi rilascio di nuove varianti di cryptomalware ad ogni ora Al cryptomalware è sufficiente essere eseguito solo 1 volta !!! Al termine della cifratura si cancella Può colpire anche i computer in rete
  • 16. Come mi difendo (1) Bloccare il CryptoMalware prima che arrivi sul PC o che venga eseguito (anti-virus) (2) Mitigazione dell'attacco: Protezione Anti-Crypto Malware (3) Backup (4) Recuperare i file cifrati (1) Cifratura dei file in corso… (2) (4) (3)
  • 17. Mitigazione dell'attacco: protezione Anti-Crypto Malware E' un approccio euristico, che va ad analizzare il "comportamento" dei processi Se il processo si comporta da "cryptomalware", allora la protezione andrà ad inibire l'accesso al file system del processo Disattivazione della connessione di rete LAN
  • 18. Esempi di schemi di "comportamento" da CryptoMalware file.doc file.doc (1) (2.a) file.doc file.doc.<new ext> (2.b) file.doc file.doc.<new ext> X (3.a) file.doc <nome casuale> (3.b) file.doc <nome casuale> X (4.a) file.doc <nome casuale>.<ext> (4.b) file.doc <nome casuale>.<ext> X Nome Tipo DirtyDecrypt 1 CryptoLocker 2 CTBLocker 2 CryptoEncoder 2 TeslaCrypt 2 CryptoWall 4.0 3 CryptoLocky 4
  • 19. VirIT VirIT protezione Anti-Crypto Malware Protezione Anti-Crypto Malware: permette di bloccare cryptomalware anche di nuova generazione Backup on-the-fly: backup al volo di file documenti (da 2 KB a 3 MB) in fase di cancellazione, vengono tenuti per 48 ore Disattivazione automatica connessione di rete LAN Protezione da attacco esterno delle cartelle condivise
  • 20. VirIT protezione Anti-Crypto Malware Nome Prot. Anti-Crypto Malware Backup on-the-fly Recupero Chiave privata CryptoLocker Si Si - CTBLocker Si Si - CryptoWall 3.0 Si Si - TeslaCrypt (1.0, 2.0, 3.0) Si No Si CryptoEncoder Si No - CryptoFF Si No Si CryptoWall 4.0 Si Si - CryptoLocky Si No -
  • 21. VirIT protezione Anti-Crypto Malware Simulazione di un attacco da CryptoMalware su macchina virtuale. Video su youtube: https://youtu.be/_SyKqqZu6-8
  • 22. VirIT protezione Anti-Crypto Malware Statistica Ottobre 2015 Media dei file crittografati su PC / SERVER con la protezione Anti- CryptoMalware integrata in Vir.IT eXplorer PRO 157 Media dei file crittografati con Anti Virus-Malware diverso da Vir.IT 42.452 Efficacia della tecnologia Anti-CryptoMalware integrata in Vir.IT eXplorer PRO 99,63%* * Aspettativa percentuale media di file salvati dalla crittografazione grazie alla protezione Anti-CryptoMalware di Vir.IT eXplore PRO: http://www.tgsoft.it/italy/news_archivio.asp?id=664
  • 23. Backup Il Backup è l'unica soluzione che ci permette di recuperare i nostri file 1. Le copie di "backup" devono essere scollegate dalla rete, per non incorrere nella cifratura da parte del crypto-malware 2. Tenere più copie di "backup" separate 3. Non tenere le copie di "backup" sul NAS, pensando che essendo sotto "linux" siano intaccabili !!! 4. Dropbox e la sincronizzazione: i file cifrati in locale verrano sincronizzati da Dropbox, in questo modo i file originali verranno sostituti con quelli cifrati VirIT Backup: permette di eseguire copie di "backup" come i tradizionali software, ma queste saranno protette contro la cifratura Punti di criticità dei sistemi di Backup: • Tempo per eseguire il backup o il ripristino dei dati • Copie obsolete
  • 24. E' possibile recuperare i file cifrati ? L'utilizzo di algortimi di cifratura come AES o RSA, rende il recupero dei file cifrati nella maggior parte dei casi di difficile realizzazione, a meno che non si conosca la chiave utilizzata In passato sono state recuperate le chiavi private dal server di C/C, grazie all'ausilio delle forze dell'ordine (sequestro del computer) In alcuni casi gli autori dei crypto-malware hanno commesso degli errori e hanno lasciato dei punti deboli nel loro sistema, come nel caso del TeslaCrypt (versioni precendenti alla 3.0) In altri è possibile recuperare i file cifrati attraverso le shadow copies di Windows (da Vista in su), se queste non sono state cancellate dal crypto-malware. Con software di recupero dati (come Recuva) è possibile ripristinare file "accidentalmente" cancellati
  • 25. TeslaCrypt Per le versioni precedenti alla 3.0 del TeslaCrypt (.vvv e altre) è possibile recuperare i file con i seguenti tool: TeslaDecoder (BloodDolly), TeslaCrack (Googulator) e The Talos TeslaCrypt Decryption Tool (Cisco). Il punto debole delle versioni precendenti alla 3.0 è stato quello di aver reso disponibile il valore session_ecdh_secret_mul: session_ecdh_secret_mul = session_ecdh_secret * session_chiave_privata Il teorema fondamentale dell'aritmetica afferma che: Ogni numero naturale maggiore di 1 o è un numero primo o si può esprimere come prodotto di numeri primi. Tale rappresentazione è unica, se si prescinde dall'ordine in cui compaiono i fattori. = ∗ ∗ ⋯ ∗ Attraverso la fattorizzazione è stato possibile determinare la chiave privata.
  • 26. TeslaCrypt 3.0 Dalla versione 3.0 del TeslaCrypt (.micro e .mp3) NON è possibile recuperare i file (senza conoscere la chiave privata), perchè gli autori hanno corretto l'errore introdotto nelle versioni precedenti. La chiave privata è un numero casuale a 256 bit La chiave pubblica è un punto della curva ellittica secp256k1 Numero di combinazioni: Totocalcio (13 partite) = 3^13 = 1594323 SuperEnalotto = C(90,6) = 622614630 Chiave a 256 bit = 115792089237316195423570985008687907853269984665640564039457584007913129639935 0 1,17E+77 Chiave a 256 bit SuperEnalatto Totocalcio Num. Combinazioni Nel 2004 per risolvere una curva ellittica a 109 bit, un team di 2600 persone ha impiegato 17 mesi.
  • 27. Conclusioni Nei primi 2 mesi del 2016 abbiamo visto un impennata di crypto- malware rispetto al 2015 Gli autori sono vere e proprie organizzazioni criminali, che lavorano a livello industriale, sfornando ad ogni ora nuove varianti di Crypto- Malware I classici prodotti AV sono in difficoltà contro queste tipologie di minacce Il recupero dei file cifrati è molto difficile, a meno che non vi siano errori da parte degli autori dei crypto-malware Il riscatto richiesto è una somma "bassa", pagare o non pagare ? Il backup è un'ottima soluzione, ma non sempre viene eseguito oppure quando non viene cifrato può essere obsoleto La protezione pro-attiva Anti-Crypto malware può mitigare l'attacco salvando la vittima
  • 29. Autore Ing. Gianfranco Tonello (g.tonello@viritpro.com) https://it.linkedin.com/in/gianfranco-tonello-77078843 Grazie per l’attenzione https://www.facebook.com/viritexplorer