View Single Post
Old 29-03-2016, 16:12   #1
x_Master_x
Senior Member
 
L'Avatar di x_Master_x
 
Iscritto dal: May 2005
Messaggi: 8402
Ransomware: Prevenzione e Soluzioni

Ransomware: Prevenzione e Soluzioni


Premessa

Questo post ha come unico scopo informare a compasso allargato su tutto quello che riguarda i ransomware. Non verrà aggiornato costantemente ad ogni nuova variante vista la cadenza quasi giornaliera di nuove versioni ma piuttosto si deve considerare come un vademecum sull'argomento. Si consiglia una lettura completa prima di scrivere nella discussione e di rispettare le regole imposte nel rispetto in primis degli utenti che qui troverete pronti ad aiutarvi. Non si offre supporto ad aziende e/o rappresentanti specializzati del settore come da regolamento del forum visto che rientra nella pubblicità diretta e/o indiretta


Cosa sono i ransomware?

Una nuova tipologia di trojan\worm che si sta diffondendo nel mondo a macchia d'olio. Anche se l'archetipo è dell'inizio degli anni '90 non voglio tediare con una inutile storia sull'evoluzione dell'infezione e scrivo direttamente cosa sono e come operano al giorno d'oggi. Il nome dice tutto, il ransomware cripta i dati dell'utente con un forte algoritmo e chiede un riscatto ( ransom ) per la chiave di decriptazione


Come operano i ransomware?

Di ransomware ne esistono centinaia di versioni, da questo momento in poi chiamate "varianti" e non seguono una procedura definita. Di solito hanno una lista di file da colpire ( txt, doc, jpeg etc. ) per evitare di compromettere l'operatività del sistema operativo, evitano le cartelle dei Programmi e di Windows, usano un algoritmo sicuro come RSA o AES con chiavi a 4096-2048-256 bit che hanno come unico punto debole la sicurezza\lunghezza della chiave stessa. Il bruteforce, unico metodo possibile in caso l'algoritmo sia stato implementato correttamente e non ci siano falle nel codice, non è nemmeno considerabile visto che vengono utilizzate chiavi molto lunghe, sicure e generate casualmente a volte base all'hardware del PC, conservate solo sui server degli autori-diffusori del malware. Il ransomware può accedere solo a directory a cui ha l'accesso l'utente in scrittura, compresi percorsi di rete ed unità non mappate.


Come faccio a sapere se sono infetto da un ransomware?

L'utente non riesce ad accedere i file, nella maggior parte dei casi li trova rinominati con una doppia estensione, nelle cartelle trova dei file di testo-html-immagini con le istruzioni per il pagamento tramite bitcoin con dei nomi esplicativi, ad esempio i file contengono la parola "decrypt", "recover", "help", "unlock" o simili. Quindi se rinominare il file criptato non ha effetto ( esistono anche i finti ransomware quindi è giusto fare un tentativo del genere ) e la situazione ti sembra familiare, il tuo PC è stato infettato da un ransomware.


Sono stato infettato da un ransomware, cosa devo fare?

In primis non pagare il riscatto. Mai, in nessun caso, non mi interessa quanto erano importanti quei file. Se hai intenzione di pagare devi sapere un paio di cose, la prima è che non fai altro che alimentare un mercato illegale che grazie ai tuoi soldi non farà altro che diffondersi ancora di più, diventando sempre più difficile da debellare, senza dimenticare che non c'è nessuna sicurezza nel recupero dei dati anzi si trovano testimonianze del'esatto contrario. La seconda è che qui non riceverai supporto, puoi chiudere tranquillamente questa pagina e non proseguire con la lettura.

Bisogna individuare come primo punto qual'è la variante che ti ha colpito. Se il file è stato rinominato controllare l'estensione, ad esempio file.txt.vvv
Con una semplice verifica su un motore di ricerca puoi scoprire a quale variante corrisponde, nel caso di .vvv è TeslaCrypt 2.0. Come alternativa al motore di ricerca c'è il sito ID Ransomware. Se non riesci a trovare informazioni sull'estensione i casi sono due:
  1. E' una estensione generata casualmente, esempio .abcdefg, oppure l'estensione è rimasta quella originale
  2. E' una variante non ancora conosciuta o non molto diffusa
Nella stragrande maggioranza dei casi è il primo punto, quindi controllare nelle istruzioni lasciate dal ransomware se è indicato il nome dell'infezione, lo stesso vale anche se il file ha mantenuto l'estensione originale. Un ransomware che usa estensioni casuali ad esempio è CTB-Locker. Un ransomware che non usa estensioni e lascia quella originale è TeslaCrypt 4.0 e DMA Locker

Una lista incompleta delle possibili varianti presa da un software ad uso strettamente privato si trova alla fine di questo thread

Ora che sì è a conoscenza della variante, bisogna capire se è stata sconfitta e se per procedere alla decriptazione dei file è necessaria la presenza di determinati file/chiavi di registro sul PC. Anche in questo caso si può ricorrere ad un motore di ricerca oppure si può chiedere in questo thread. Cortesemente cercare nella discussione se è stata postata in precedenza una domanda simile e seguire le regole della discussione che si trovano alla fine di questo post.

Nell'eventualità dovessi accorgerti dell'infezione mentre il malware ancora deve terminare la routine spegnere-riavviare immediatamente il PC per cercare di salvare più file possibile. A quel punto avviare il PC in modalità provvisoria ( i programmi in avvio, tramite chiave Run o Attività pianificata, sono inabilitati e quindi l'infezione non può auto-eseguirsi e peggiorare la condizione dei file ) oppure se preferite tentare di accedere con un live cd di Linux per verificare la situazione. Se è il ransomware stesso a forzare una BSOD in tal caso NON riavviare ma spegnere direttamente il PC. Lo stesso discorso vale in caso il ransoware cerchi di riavviare il PC, non lasciare che completi l'operazione ma spegnere il PC in modo forzato ad esempio staccando l'alimentazione.


Quali varianti è possibile decriptare?

Alcune varianti sconfitte, almeno le più famose, sono:* .ecc .ezz .exx .xyz .zzz, aaa .abc .ccc .vvv, .xxx. Per .ttt, .micro, .mp3, senza estensione fare riferimento a questa pagina

In caso la variante non sia stata sconfitta si può procedere in due modi:
  1. Una immagine del disco in modo che vengano preservati file/chiavi del ransomware e infine procedere alla rimozione dello stesso, vedi sezione dedicata
  2. Una copia di backup dei soli file criptati e procedere alla rimozione del ransomware, vedi sezione dedicata
Per quanto il primo punto sia preferibile non è detto che sia necessario, nel caso di TeslaCrypt 2.0 ad esempio bastano i soli file criptati. La probabilità di decriptare i file delle varianti di nuova generazione ( CTB-Locker, Locky, Cerber e così via ) è estremamente bassa, si può solo sperare una una falla del codice, una errata implementazione dell'algoritmo crittografico oppure ad un ripensamento dell'autore che rilasci le chiavi come nel caso di Locker:

Quote:
Hi,
I am the author of the Locker ransomware and I'm very sorry about that has happened. It was never my intention to release this.

I uploaded the database to mega.co.nz containing "bitcoin address, public key, private key" as CSV. This is a dump of the complete database and most of the keys weren't even used. All distribution of new keys has been stopped.

Automatic decryption will start on 2nd of june at midnight.
Oppure di TeslaCrypt 3.0/4.0
Quote:
Project closed
master key for decrypt

wait for other people make universal decrypt software

we are sorry!
Cosa posso tentare per recuperare i file?

I tentativi che si posso fare sono:
  1. Ripristinare la vostra copia di backup se precedentemente effettuata
  2. Controllare le copie shadow in caso non siano state eliminate dal ransomware, tramite il tasto destro sul file --> Proprietà --> Versioni precedenti oppure con un software come ShadowExplorer. Per quest'ultimo vi consiglio la versione "Portable .zip"
  3. Controllare i file cancellati con PhotoRec della suite TestDisk, per una guida fare riferimento al link PhotoRec Passo Dopo Passo. Oltre a tentare di recuperare i file, vi consiglio di tentare il recupero delle stesse copie shadow dalla director "System Volume Information" presente nella radice del disco
  4. Se avete Dropbox ed è stata criptata anche quella directory si possono recuperare i file originali. Le istruzioni si trovano al link Come faccio a recuperare le versioni precedenti dei file? e I miei file sono stati danneggiati o rinominati da ransomware. Che cosa posso fare?


Come rimuovere il ransomware?

Dipende dalle varianti ma software come HitmanPro, Malwarebytes Anti-Malware e Online Scanner come ESET\Kaspersky sono un buon inizio. Una soluzione drastica ma sicura al 100% è una formattazione completa del PC, vi ricordo che i ransomware sono sempre un passo avanti rispetto ai produttori di AV.


Ho rimosso il ransomware ma sul PC ho ancora dei file correlati, come precedere?

Se l'infezione è stata rimossa ma sul PC sono ancora presenti i vari file di testo-html-immagini nelle cartelle relative al virus procedere in questo modo:
Scaricare ed eseguire Old Files Manager. Come impostazioni selezionare il disco da scansionare, ad esempio C:\ con opzione "Includi sottocartelle", togliere le voci Dimensioni-Tipo-Data per velocizzare al massimo la ricerca, aggiungere la checkbox a "Includi la parola(e) ... dalla ricerca" e scrivere:
Codice:
*nome_file*.html;*nome_file*.txt;*nome_file*.png
Sostituendo l'estensione con quella di interesse e "nome_file" con il nome anche parziale dei file in questione. Infine cliccare sul pulsante "Verifica". Al termine si possono spostare i file in una cartella oppure li cancellarli, a vostra personale scelta. Per altre informazioni sul programma c'è la prima pagina di quel thread che chiarisce ogni dubbio.

N.B. In caso OFM non riesca a cancellare\spostare i file non è un problema del programma ma dipende dalla configurazione del vostro account, ad esempio dai permessi di scrittura della directory ( tasto destro --> Proprietà --> Sicurezza --> Avanzate )


Quali sono i principali veicoli di infezione?

Sono principalmente due, email con phishing o finti allegati ( ad esempio fatture o rimborsi ) e exploit da siti compromessi, compresi ADS e banner, e nell'ultimo periodo anche il circuito .torrent soprattutto per il materiale illegale vedi RAUM . Considerati questi due fattori per prima cosa abilitare la visualizzazione delle estensioni ( Opzioni cartella --> Visualizzazione --> Nascondi le estensioni per i tipi di file conosciuti ) proprio perché i ransomware sono camuffati in allegato da altri file come i PDF. Quindi non aprire allegati sospetti, anche se il mittente sembra conosciuto, se si hanno delle incertezze leggere attentamente l'email che spesso ha errori ortografici. Aggiungere dei filtri al proprio software di gestione della posta per evitare allegati pericolosi come .exe .vbs .bat .js ( per quest'ultimo si può utilizzare NoScript della Symantec ) ad esempio alcuni provider come GMail hanno questa protezione già inclusa. In secondo luogo evitare siti "particolari" e se proprio si ha questa necessità utilizzare ambienti virtuali senza collegamento tra Host, il tuo PC, e Guest cioè l'ambiente virtualizzato ( Virtualbox, VMWare ) o sandbox ( ToolWiz TimeFreeze, Sandboxie ) in modo che anche in caso di infezione l'Host non verrà colpito. Un'alternativa può essere una qualsivoglia live di Linux.


Come configurare il PC per evitare infezioni da ransomware?

Scriverò un elenco di tutte le principali configurazioni da attuare:
¹AppLocker non è disponibile per tutte le edizioni di Windows. Se si possiede Windows 10 Enterprise o Education in aggiunta si consiglia Device Guard

² Flash e Java hanno spesso 0-day e falle quindi vi consiglio la rimozione. Per Flash in caso serva come alternativa c'è il plugin PepperFlash integrato in Chrome, per Java se si hanno particolari necessità ad esempio per l'esecuzione di un programma si può usare la versione portable. Una spiegazione d'uso corredata di esempio si trova a questo indirizzo

³ EMET al momento non ha una funzionalità di Application Lockdown, a cui si può trarre rimedio con il registro/policy vedi Application Lockdown with Software Restriction Policies. Inoltre viene dichiarato, per le versioni di Windows 10 Enterprise o Education, che:
Quote:
Originariamente inviato da Technet
With Windows 10 we have implemented many features and mitigations that can make EMET unnecessary on devices running Windows 10. EMET is most useful to help protect down-level systems, legacy applications, and to provide Control Flow Guard (CFG) protection for 3rd party software that may not yet be recompiled using CFG.

Some of the Windows 10 features that provide equivalent (or better) mitigations than EMET are Device Guard, Control Flow Guard (CFG) and AppLocker
4 Si consiglia l'installazione ad utenti esperti


Quali software utilizzare per evitare infezioni da ransomware?

Si consiglia innanzitutto di configurare il PC come da sezione precedente. La scelta ad oggi ricade tra:
Vi consiglio di guardare le caratteristiche e decidere in piena autonomia


Come configurare l'account standard?

Un account standard non evita l'infezione quindi si può considerare "facoltativo" però è possibile agire sui permessi delle directory in modo che il virus non infetti cartelle a cui non ha accesso in scrittura.

Dall'account amministratore tasto destro sulla directory --> Proprietà --> Sicurezza --> Avanzate. Se l'account amministratore non è proprietario della cartella cliccare su Cambia --> Scrivere il NOME_UTENTE --> Controlla nomi --> OK --> Applica --> OK

Rietrare nella schermata tramite il pulsante Avanzate --> Cambia autorizzazioni ( se presente ). A questo punto se vogliamo agire per il singolo utente cliccare su Aggiungi --> Scrivere il NOME_UTENTE --> Controlla nomi --> OK --> Consenti\Nega in base alle proprie necessità ( ad esempio negare i soli permessi in scrittura ) così come per la voce "Applica a: La cartella selezionata, le sottocartelle e i file". Se invece volessimo applicare al gruppo e non al singolo utente la voce da modificare è "Users (NOME_ADMIN\Users)" --> Consenti\Nega in base alle proprie necessità. Vi ricordo che le autorizzazioni negate prevalgono su quelle concesse anche se l'utente fa parte di due gruppi distinti.

Se non si vuole usare l'interfaccia grafica per evitare tutti i passaggi si può usare, tramite CMD elevato come amministratore, l'utility ICACLS

Alcuni esempi:
Codice:
ICACLS "X:\Cartella" /grant "NOME_UTENTE":(CI)(OI)RX
ICACLS "X:\Cartella" /deny "NOME_UTENTE":(CI)(OI)W
ICACLS "X:\Cartella" /deny Users:(CI)(OI)W
(CI): container inherit
(IO): inherit only
RX (read and execute access)
W (write-only access)

La prima stringa autorizza ( /grant ) l'utente ad avere solo accesso di lettura ed esecuzione alla cartella
La seconda stringa nega ( /deny ) l'utente i permessi di scrittura
La terza stringa nega ( /deny ) a tutti gli utenti standard che fanno parte del gruppo "Users" i permessi di scrittura

Anche in questo caso le autorizzazioni negate prevalgono su quelle concesse anche se l'utente fa parte di due gruppi distinti. La guida all'uso di Icacls per ogni informazione


Perché il backup dei dati è così importante?

Perché il ransomware non è l'unica minaccia ai tuoi preziosi file, sono tante le cause che possono farti perdere i dati. Un altro tipo di virus, un danno hardware all'HDD, uno sbalzo di corrente durante le fasi di copia sono sono alcune possibilità. Se ci tieni alle foto di famiglia, ai tuoi documenti, ai tuoi ricordi fai una o più copie di backup su HDD esterni


Come posso scrivere\contribuire alla discussione?

Se sei stato infetto da un ransomware, vuoi semplicemente postare la tua esperienza o porre delle domande inerenti alla tua situazione scrivere almeno un post utilizzando questo modello, da riempire in ogni sua parte:

Variante:
Sistema Operativo:
Antivirus:
Livello UAC:
Anti-Ransomware e/o Criteri di gruppo:
Veicolo di infezione:
Provider di posta:
Macro di Office:
Ad-Block:
Flash:
Java:

Esempio:
Codice:
Variante: .vvv - Teslacrypt 2.0
Sistema Operativo: Windows 7 Professional 64 Bit
Antivirus: Microsoft Security Essential
Livello UAC: Attivo - Standard
Anti-Ransomware e/o Criteri di gruppo: No
Veicolo di infezione: Allegato infetto
Provider di posta: Libero
Macro di Office: Si
Ad-Block: Si
Flash: Si
Java: No
In caso non si conosca la risposta, ad esempio per il veicolo di infezione, scrivere semplicemente "Sconosciuto"
Se non usi il modello non riceverai supporto per le tue domande, è necessario per capire la situazione di base del tuo PC al momento dell'infezione.


Esempi di estensioni utilizzate dai Ransomware

Codice:
[CryptoSaver]
Date=29/03/2016
Ext=UNDETECTED
Path=C:\
[UnkwnowExts]
001=.1999
002=.33t
003=.0x0
004=.aaa
005=.abc
006=.biz
007=.cry
008=.ccc
009=.ecc
010=.enc
011=.etc
012=.exx
013=.ezz
014=.fff
015=.ha3
016=.net
017=.org
018=.r5a
019=.rdm
020=.rrk
021=.ttt
022=.vvv
023=.k2v
024=.xxx
025=.xyz
026=.zzz
027=.me
028=.it
029=.lv
030=.ctbl
031=.ctb2
032=.cpyt
033=.crinf
034=.crypt
035=.crypto
036=.eclr
037=.fuck
038=.good
039=.guru
040=.hb15
041=.locky
042=.micro
043=.magic
044=.pzdc
045=.rack
046=.trun
047=.sport
048=.vault
049=.xtbl
050=.ytbl
051=.xrnt
052=.amba
053=.aes256
054=.bleep
055=.bloked
056=.bitcryp1
057=.bitcryp2
058=.crypted
059=.crjoker
060=.cerber
061=.coverton
062=.cryptolocker
063=.darkness
064=.decbak
065=.encedrsa
066=.encrypted
067=.enciphered
068=.frtrss
069=.rokku
070=.him0m
071=.omg!
072=.lol!
073=.kraken
074=.locked
075=.lechiffre
076=.nochance
077=.73i87a
078=.oshit
079=.obleep
080=.poAr2w
081=.p5tkjw
082=.plague17
083=.sshxkej
084=.sanction
085=.surprise
086=.supercrypt
087=.toxcrypt
088=.keybtc*
089=.r16m01d05
090=.encryptedrsa
091=.better_call_saul
092=.hydracrypt_ID_*
093=.umbrecrypt_ID_*
094=.{cryptendblackdc}
[DoubleExts]
001=.mp3
002=.com
[Filename]
001=_crypt
002=.id-
[Header]
001=0:8:0x21444D414C4F434B
002=0:8:0x41424358595A3131

__________________
.
Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock
The real me is no match for the legend
.

Ultima modifica di x_Master_x : 05-01-2017 alle 16:08.
x_Master_x è offline   Rispondi citando il messaggio o parte di esso