Ransomware: Prevenzione e Soluzioni

Ransomware: Prevenzione e soluzioni - Hardware Upgrade Forum
1 di 6
http://www.hwupgrade.it/forum/showthread.php?t=2763407
Strumenti
29-03-2016, 15:12
x_Master_x
#1
Ransomware: Prevenzione e Soluzioni
Senior Member
Ransomware: Prevenzione e Soluzioni
Premessa
Iscritto dal: May 2005
Messaggi: 7558
Questo post ha come unico scopo informare a compasso allargato su tutto quello che riguarda i ransomware.
Non verrà aggiornato costantemente ad ogni nuova variante vista la cadenza quasi giornaliera di nuove
versioni ma piuttosto si deve considerare come un vademecum sull'argomento. Si consiglia una lettura
completa prima di scrivere nella discussione e di rispettare le regole imposte nel rispetto in primis degli utenti
che qui troverete pronti ad aiutarvi. Non si offre supporto ad aziende e/o rappresentanti specializzati del
settore come da regolamento del forum visto che rientra nella pubblicità diretta e/o indiretta
Cosa sono i ransomware?
Una nuova tipologia di trojan\worm che si sta diffondendo nel mondo a macchia d'olio. Anche se l'archetipo è
dell'inizio degli anni '90 non voglio tediare con una inutile storia sull'evoluzione dell'infezione e scrivo
direttamente cosa sono e come operano al giorno d'oggi. Il nome dice tutto, il ransomware cripta i dati
dell'utente con un forte algoritmo e chiede un riscatto ( ransom ) per la chiave di decriptazione
Come operano i ransomware?
Di ransomware ne esistono centinaia di versioni, da questo momento in poi chiamate "varianti" e non seguono
una procedura definita. Di solito hanno una lista di file da colpire ( txt, doc, jpeg etc. ) per evitare di
compromettere l'operatività del sistema operativo, evitano le cartelle dei Programmi e di Windows, usano un
algoritmo sicuro come RSA o AES con chiavi a 4096-2048-256 bit che hanno come unico punto debole la
sicurezza\lunghezza della chiave stessa. Il bruteforce, unico metodo possibile in caso l'algoritmo sia stato
implementato correttamente e non ci siano falle nel codice, non è nemmeno considerabile visto che vengono
utilizzate chiavi molto lunghe, sicure e generate casualmente a volte base all'hardware del PC, conservate
solo sui server degli autori-diffusori del malware. Il ransomware può accedere solo a directory a cui ha
l'accesso l'utente in scrittura, compresi percorsi di rete ed unità non mappate.
Come faccio a sapere se sono infetto da un ransomware?
L'utente non riesce ad accedere i file, nella maggior parte dei casi li trova rinominati con una doppia
estensione, nelle cartelle trova dei file di testo-html-immagini con le istruzioni per il pagamento tramite bitcoin
con dei nomi esplicativi, ad esempio i file contengono la parola "decrypt", "recover", "help", "unlock" o simili.
Quindi se rinominare il file criptato non ha effetto ( esistono anche i finti ransomware quindi è giusto fare un
tentativo del genere ) e la situazione ti sembra familiare, il tuo PC è stato infettato da un ransomware.
Sono stato infettato da un ransomware, cosa devo fare?
In primis non pagare il riscatto. Mai, in nessun caso, non mi interessa quanto erano importanti quei file. Se hai
intenzione di pagare devi sapere un paio di cose, la prima è che non fai altro che alimentare un mercato
illegale che grazie ai tuoi soldi non farà altro che diffondersi ancora di più, diventando sempre più difficile da
23/04/2016
debellare, senza dimenticare che non c'è nessuna sicurezza nel recupero dei dati anzi si trovano testimonianze
17.39
Ransomware: Prevenzione e soluzioni - Hardware Upgrade Forum
2 di 6
http://www.hwupgrade.it/forum/showthread.php?t=2763407
In primis non pagare il riscatto. Mai, in nessun caso, non mi interessa quanto erano importanti quei file. Se hai
intenzione di pagare devi sapere un paio di cose, la prima è che non fai altro che alimentare un mercato
illegale che grazie ai tuoi soldi non farà altro che diffondersi ancora di più, diventando sempre più difficile da
debellare, senza dimenticare che non c'è nessuna sicurezza nel recupero dei dati anzi si trovano testimonianze
del'esatto contrario. La seconda è che qui non riceverai supporto, puoi chiudere tranquillamente questa pagina
e non proseguire con la lettura.
Bisogna individuare come primo punto qual'è la variante che ti ha colpito. Se il file è stato rinominato
controllare l'estensione, ad esempio file.txt.vvv
Con una semplice verifica su un motore di ricerca puoi scoprire a quale variante corrisponde, nel caso di .vvv è
TeslaCrypt 2.0. Come alternativa al motore di ricerca c'è il sito ID Ransomware. Se non riesci a trovare
informazioni sull'estensione i casi sono due:
1. E' una estensione generata casualmente, esempio .abcdefg, oppure l'estensione è rimasta quella
originale
2. E' una variante non ancora conosciuta o non molto diffusa
Nella stragrande maggioranza dei casi è il primo punto, quindi controllare nelle istruzioni lasciate dal
ransomware se è indicato il nome dell'infezione, lo stesso vale anche se il file ha mantenuto l'estensione
originale. Un ransomware che usa estensioni casuali ad esempio è CTB-Locker. Un ransomware che non usa
estensioni e lascia quella originale è TeslaCrypt 4.0 e DMA Locker
Una lista incompleta delle possibili varianti presa da un software ad uso strettamente privato si trova alla fine
di questo thread
Ora che sì è a conoscenza della variante, bisogna capire se è stata sconfitta e se per procedere alla
decriptazione dei file è necessaria la presenza di determinati file/chiavi di registro sul PC. Anche in questo caso
si può ricorrere ad un motore di ricerca oppure si può chiedere in questo thread. Cortesemente cercare nella
discussione se è stata postata in precedenza una domanda simile e seguire le regole della discussione che si
trovano alla fine di questo post.
Nell'eventualità dovessi accorgerti dell'infezione mentre il malware ancora deve terminare la routine spegnereriavviare immediatamente il PC per cercare di salvare più file possibile. A quel punto avviare il PC in modalità
provvisoria ( i programmi in avvio, tramite chiave Run o Attività pianificata, sono inabilitati e quindi l'infezione
non può auto-eseguirsi e peggiorare la condizione dei file ) oppure se preferite tentare di accedere con un live
cd di Linux per verificare la situazione. Se è il ransomware stesso a forzare una BSOD in tal caso NON riavviare
ma spegnere direttamente il PC. Lo stesso discorso vale in caso il ransoware cerchi di riavviare il PC, non
lasciare che completi l'operazione ma spegnere il PC in modo forzato ad esempio staccando l'alimentazione.
Quali varianti è possibile decriptare?
Alcune varianti sconfitte, almeno le più famose, sono:
BitCryptor
Coinvault
CrypBoss
CryptInfinite
CryptoDefense
CryptoLocker
CryptoWall
DMA Locker
DecryptorMax
EDA2
Gomasom
Hydracrypt
KeyBTC
LeChiffre
Locker
NanoLocker
Petya
Radamant
TeslaCrypt*
TorLocker
TorrentLocker
Umbrecrypt
* .ecc .ezz .exx .xyz .zzz, aaa .abc .ccc .vvv
In caso la variante non sia stata sconfitta si può procedere in due modi:
1. Una immagine del disco in modo che vengano preservati file/chiavi del ransomware e infine procedere
alla rimozione dello stesso, vedi sezione dedicata
2. Una copia di backup dei soli file criptati e procedere alla rimozione del ransomware, vedi sezione
dedicata
Per quanto il primo punto sia preferibile non è detto che sia necessario, nel caso di TeslaCrypt 2.0 ad esempio
bastano i soli file criptati. La probabilità di decriptare i file delle varianti di nuova generazione ( CTB-Locker,
Locky, Cerber, TeslaCrypt 3.0 e così via ) è estremamente bassa, si può solo sperare una una falla del codice,
una errata implementazione dell'algoritmo di crittografico oppure ad un ripensamento dell'autore che rilasci le
chiavi come nel caso di Locker:
Quote:
Hi,
I am the author of the Locker ransomware and I'm very sorry about that has happened. It was never
my intention to release this.
23/04/2016 17.39
Ransomware: Prevenzione e soluzioni - Hardware Upgrade Forum
3 di 6
http://www.hwupgrade.it/forum/showthread.php?t=2763407
Hi,
I am the author of the Locker ransomware and I'm very sorry about that has happened. It was never
my intention to release this.
I uploaded the database to mega.co.nz containing "bitcoin address, public key, private key" as CSV.
This is a dump of the complete database and most of the keys weren't even used. All distribution of
new keys has been stopped.
Automatic decryption will start on 2nd of june at midnight.
Cosa posso tentare per recuperare i file?
I tentativi che si posso fare sono:
1. Ripristinare la vostra copia di backup se precedentemente effettuata
2. Controllare le copie shadow in caso non siano state eliminate dal ransomware, tramite il tasto destro sul
file --> Proprietà --> Versioni precedenti oppure con un software come ShadowExplorer. Per quest'ultimo
vi consiglio la versione "Portable .zip"
3. Controllare i file cancellati con PhotoRec della suite TestDisk, per una guida fare riferimento al link
PhotoRec Passo Dopo Passo. Oltre a tentare di recuperare i file, vi consiglio di tentare il recupero delle
stesse copie shadow dalla director "System Volume Information" presente nella radice del disco
4. Se avete Dropbox ed è stata criptata anche quella directory si possono recuperare i file originali. Le
istruzioni si trovano al link Come faccio a recuperare le versioni precedenti dei file? e I miei file sono stati
danneggiati o rinominati da ransomware. Che cosa posso fare?
Come rimuovere il ransomware?
Dipende dalle varianti ma software come HitmanPro, Malwarebytes Anti-Malware e Online Scanner come
ESET\Kaspersky sono un buon inizio. Una soluzione drastica ma sicura al 100% è una formattazione completa
del PC, vi ricordo che i ransomware sono sempre un passo avanti rispetto ai produttori di AV.
Ho rimosso il ransomware ma sul PC ho ancora dei file correlati, come
precedere?
Se l'infezione è stata rimossa ma sul PC sono ancora presenti i vari file di testo-html-immagini nelle cartelle
relative al virus procedere in questo modo:
Scaricare ed eseguire Old Files Manager. Come impostazioni selezionare il disco da scansionare, ad esempio
C:\ con opzione "Includi sottocartelle", togliere le voci Dimensioni-Tipo-Data per velocizzare al massimo la
ricerca, aggiungere la checkbox a "Includi la parola(e) ... dalla ricerca" e scrivere:
Codice:
*nome_file*.html;*nome_file*.txt;*nome_file*.png
Sostituendo l'estensione con quella di interesse e "nome_file" con il nome anche parziale dei file in questione.
Infine cliccare sul pulsante "Verifica". Al termine si possono spostare i file in una cartella oppure li cancellarli, a
vostra personale scelta. Per altre informazioni sul programma c'è la prima pagina di quel thread che chiarisce
ogni dubbio.
N.B. In caso OFM non riesca a cancellare\spostare i file non è un problema del programma ma dipende dalla
configurazione del vostro account, ad esempio dai permessi di scrittura della directory ( tasto destro -->
Proprietà --> Sicurezza --> Avanzate )
Quali sono i principali veicoli di infezione?
Sono principalmente due, email con phishing o finti allegati ( ad esempio fatture o rimborsi ) e exploit da siti
compromessi, compresi ADS e banner. Considerati questi due fattori per prima cosa abilitare la visualizzazione
delle estensioni ( Opzioni cartella --> Visualizzazione --> Nascondi le estensioni per i tipi di file conosciuti )
proprio perché i ransomware sono camuffati in allegato da altri file come i PDF. Quindi non aprire allegati
sospetti, anche se il mittente sembra conosciuto, se si hanno delle incertezze leggere attentamente l'email che
spesso ha errori ortografici. Aggiungere dei filtri al proprio software di gestione della posta per evitare allegati
pericolosi come .exe .vbs .bat .js ( per quest'ultimo si può utilizzare NoScript della Symantec ) ad esempio
alcuni provider come GMail hanno questa protezione già inclusa. In secondo luogo evitare siti "particolari" e se
proprio si ha questa necessità utilizzare ambienti virtuali senza collegamento tra Host, il tuo PC, e Guest cioè
l'ambiente virtualizzato ( Virtualbox, VMWare ) o sandbox ( ToolWiz TimeFreeze, Sandboxie ) in modo che
anche in caso di infezione l'Host non verrà colpito. Un'alternativa può essere una qualsivoglia live di Linux.
Come configurare il PC per evitare infezioni da ransomware?
Scriverò un elenco di tutte le principali configurazioni da attuare:
Uno o più backup su HDD esterni non connessi al PC se non in uso
Windows sempre aggiornato così come i browser di terze parti
UAC attivo, meglio se al massimo
Editor criteri di gruppo locali aka gpedit.msc. Nello specifico:
1. Criteri restrizione software
2. Non eseguire le applicazioni Windows specificate
3. Esegui solo applicazioni Windows specificate
4. Applocker
uBlock\AdBlock per bloccare gli ads
23/04/2016 17.39
Ransomware: Prevenzione e soluzioni - Hardware Upgrade Forum
4 di 6
http://www.hwupgrade.it/forum/showthread.php?t=2763407
2. Non eseguire le applicazioni Windows specificate
3. Esegui solo applicazioni Windows specificate
4. Applocker
uBlock\AdBlock per bloccare gli ads
Disinstallare\Disabilitare Flash e Java*
Disabilitare le Macro di Office
L'utilizzo di un account standard, vedi sezione dedicata
Visualizzazione estensioni nascoste, come da sezione precedente
Disabilitare "Riavvia automaticamente" in caso di BSOD
EMET - The Enhanced Mitigation Experience Toolkit
* Flash e Java hanno spesso 0-day e falle quindi vi consiglio la rimozione. Per Flash in caso serva come
alternativa c'è il plugin PepperFlash integrato in Chrome, per Java se si hanno particolari necessità ad esempio
per l'esecuzione di un programma si può usare la versione portable. Una spiegazione d'uso corredata di
esempio si trova a questo indirizzo
Quali software utilizzare per evitare infezioni da ransomware?
Si consiglia innanzitutto di configurare il PC come da sezione precedente. La scelta ad oggi ricade tra:
Malwarebytes Anti-Ransomware ( beta )
Bitdefender Anti-Ransomware ( gratuito )
HitmanPro.Alert ( a pagamento )
CryptoPrevent ( gratuito \ a pagamento )
WinAntiRansom ( a pagamento )
Vi consiglio di guardare le caratteristiche e decidere in piena autonomia
Come configurare l'account standard?
Un account standard non evita l'infezione quindi si può considerare "facoltativo" però è possibile agire sui
permessi delle directory in modo che il virus non infetti cartelle a cui non ha accesso in scrittura.
Dall'account amministratore tasto destro sulla directory --> Proprietà --> Sicurezza --> Avanzate. Se l'account
amministratore non è proprietario della cartella cliccare su Cambia --> Scrivere il NOME_UTENTE --> Controlla
nomi --> OK --> Applica --> OK
Rietrare nella schermata tramite il pulsante Avanzate --> Cambia autorizzazioni ( se presente ). A questo
punto se vogliamo agire per il singolo utente cliccare su Aggiungi --> Scrivere il NOME_UTENTE --> Controlla
nomi --> OK --> Consenti\Nega in base alle proprie necessità ( ad esempio negare i soli permessi in scrittura )
così come per la voce "Applica a: La cartella selezionata, le sottocartelle e i file". Se invece volessimo applicare
al gruppo e non al singolo utente la voce da modificare è "Users (NOME_ADMIN\Users)" --> Consenti\Nega in
base alle proprie necessità. Vi ricordo che le autorizzazioni negate prevalgono su quelle concesse anche se
l'utente fa parte di due gruppi distinti.
Se non si vuole usare l'interfaccia grafica per evitare tutti i passaggi si può usare, tramite CMD elevato come
amministratore, l'utility ICACLS
Alcuni esempi:
Codice:
ICACLS "X:\Cartella" /grant "NOME_UTENTE":(CI)(OI)RX
ICACLS "X:\Cartella" /deny "NOME_UTENTE":(CI)(OI)W
ICACLS "X:\Cartella" /deny Users:(CI)(OI)W
(CI): container inherit
(IO): inherit only
RX (read and execute access)
W (write-only access)
La prima stringa autorizza ( /grant ) l'utente ad avere solo accesso di lettura ed esecuzione alla cartella
La seconda stringa nega ( /deny ) l'utente i permessi di scrittura
La terza stringa nega ( /deny ) a tutti gli utenti standard che fanno parte del gruppo "Users" i permessi di
scrittura
Anche in questo caso le autorizzazioni negate prevalgono su quelle concesse anche se l'utente fa parte di due
gruppi distinti. La guida all'uso di Icacls per ogni informazione
Perché il backup dei dati è così importante?
Perché il ransomware non è l'unica minaccia ai tuoi preziosi file, sono tante le cause che possono farti perdere i
dati. Un altro tipo di virus, un danno hardware all'HDD, uno sbalzo di corrente durante le fasi di copia sono
sono alcune possibilità. Se ci tieni alle foto di famiglia, ai tuoi documenti, ai tuoi ricordi fai una o più copie di
backup su HDD esterni
Come posso scrivere\contribuire alla discussione?
Se sei stato infetto da un ransomware, vuoi semplicemente postare la tua esperienza o porre delle domande
inerenti alla tua situazione scrivere almeno un post utilizzando questo modello, da riempire in ogni sua parte:
23/04/2016 17.39
Ransomware: Prevenzione e soluzioni - Hardware Upgrade Forum
5 di 6
http://www.hwupgrade.it/forum/showthread.php?t=2763407
Se sei stato infetto da un ransomware, vuoi semplicemente postare la tua esperienza o porre delle domande
inerenti alla tua situazione scrivere almeno un post utilizzando questo modello, da riempire in ogni sua parte:
Variante:
Sistema Operativo:
Antivirus:
Livello UAC:
Anti-Ransomware e/o Criteri di gruppo:
Veicolo di infezione:
Provider di posta:
Macro di Office:
Ad-Block:
Flash:
Java:
Esempio:
Codice:
Variante: .vvv - Teslacrypt 2.0
Sistema Operativo: Windows 7 Professional
Antivirus: Microsoft Security Essential
Livello UAC: Attivo - Standard
Anti-Ransomware e/o Criteri di gruppo: No
Veicolo di infezione: Allegato infetto
Provider di posta: Libero
Macro di Office: Si
Ad-Block: Si
Flash: Si
Java: No
64 Bit
In caso non si conosca la risposta, ad esempio per il veicolo di infezione, scrivere semplicemente "Sconosciuto"
Se non usi il modello non riceverai supporto per le tue domande, è necessario per capire la situazione di base
del tuo PC al momento dell'infezione.
Esempi di estensioni utilizzate dai Ransomware
Codice:
[CryptoSaver]
Date=29/03/2016
Ext=UNDETECTED
Path=C:\
[UnkwnowExts]
001=.1999
002=.33t
003=.0x0
004=.aaa
005=.abc
006=.biz
007=.cry
008=.ccc
009=.ecc
010=.enc
011=.etc
012=.exx
013=.ezz
014=.fff
015=.ha3
016=.net
017=.org
018=.r5a
019=.rdm
020=.rrk
021=.ttt
022=.vvv
023=.k2v
024=.xxx
025=.xyz
026=.zzz
027=.me
028=.it
029=.lv
030=.ctbl
031=.ctb2
032=.cpyt
033=.crinf
034=.crypt
035=.crypto
036=.eclr
037=.fuck
038=.good
039=.guru
040=.hb15
041=.locky
042=.micro
043=.magic
044=.pzdc
045=.rack
046=.trun
23/04/2016 17.39
Ransomware: Prevenzione e soluzioni - Hardware Upgrade Forum
6 di 6
http://www.hwupgrade.it/forum/showthread.php?t=2763407
043=.magic
044=.pzdc
045=.rack
046=.trun
047=.sport
048=.vault
049=.xtbl
050=.ytbl
051=.xrnt
052=.amba
053=.aes256
054=.bleep
055=.bloked
056=.bitcryp1
057=.bitcryp2
058=.crypted
059=.crjoker
060=.cerber
061=.coverton
062=.cryptolocker
063=.darkness
064=.decbak
065=.encedrsa
066=.encrypted
067=.enciphered
068=.frtrss
069=.rokku
070=.him0m
071=.omg!
072=.lol!
073=.kraken
074=.locked
075=.lechiffre
076=.nochance
077=.73i87a
078=.oshit
079=.obleep
080=.poAr2w
081=.p5tkjw
082=.plague17
083=.sshxkej
084=.sanction
085=.surprise
086=.supercrypt
087=.toxcrypt
Il contenuto di questo post è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5
__________________
.
Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock
The real me is no match for the legend
.
Ultima modifica di x_Master_x : 11-04-2016 alle 15:54.
23/04/2016 17.39