igor hák eset software spol. s r.o.historie ransomware aids information introductory diskette rok:...
TRANSCRIPT
Ransomware, včera dnes a zítra
Igor Hák
ESET software spol. s r.o.
Obsah
Historie
Současné trendy
Z pohledu AV společností
Něco pozitivního na závěr
23. února 20I7
Historie ransomware
AIDS Information Introductory Diskette
rok: 1989
vektor šíření: diskety
technika: AUTOEXEC.BAT a symetrická šifra
platba: 189$ do PO boxu v Panamě
„důvod“: porušení EULA – peníze na prodloužení licence (90 startů)
autor: Dr. Joseph Popp (nyní „AMREF - Flying Doctors“)
23. února 20I7
Historie ransomware
„Policejní virus“
během 2012 lokalizován
bez šifrování dat
jen blokovaný přístup do Windows
postupné zdražování a zkvalitnění překladu
desítky variant po celém světě –„stavebnice“
23. února 20I7
23. února 20I7
23. února 20I7
Historie ransomware
Ransomware bez šifrování – nutno zapůsobit „jinak“
policejní zpráva / FBI / CIA
co nejvíce informací o PC („víme všechno“)
foto „oběti“ (z webkamery)
alespoň do něčeho se „trefit“
smyšlené informace o porušování autorských práv, přítomnosti dětské pornografie, nelegální software, ....
odnětí svobody na XX let
23. února 20I7
Historie ransomware
Policejní virus pomáhá!
arstechnica.com
23. února 20I7
Historie ransomware
2013
nástup ransomware se šifrováním dat (CryptoLocker, ...)
postupné zdokonalování
méně chyb
lepší šifrování - stále menší šance na vznik dekryptorů od AV společností
mazání stínových kopií
„vymazlenější“
...
23. února 20I7
Win32/Filecoder.Q
vektor šíření: ulož.to
windows crack
office crack
minecraft crack
...
šlo odšifrovat, část klíče v těle + v názvu souboru
23. února 20I7
Win32/Filecoder.Q
23. února 20I7
23. února 20I7
23. února 20I7
23. února 20I7
23. února 20I7
23. února 20I7
23. února 20I7
Nové-staré fígle
Ransomware Locky
šíření přes e-mail
v příloze „neškodná“ faktura .DOCX
kdo pamatuje makroviry?
využití autoOpen makra – stažení EXE havěti z internetu a spuštění
23. února 20I7
Nové-staré fígle
23. února 20I7
Nové-staré fígle
Ransomware Petya
jako „pravý“ trojský kůň – imitace CHKDSK
23. února 20I7
Nové-staré fígle
23. února 20I7
Nové-staré fígle
23. února 20I7
Satan
Ransomware as a service
„vytvoř si svůj ransomware“
bez vstupních poplatků (na rozdíl od malware as a service)
provizní systém (30% z každého zaplaceného výpalného pro autory)
23. února 20I7
Satan
23. února 20I7
Satan
23. února 20I7
Satan
23. února 20I7
23. února 20I7
Z pohledu AV společností
Některé problémy:
změna havěti per install / per download
horizontální granularita havěti – „obálky“ (Kryptik)
ztížit detekci (triky proti emulaci kódu, neběží na virtuálním prostředí, ...)
ztížit analýzu funkcionality
zvýšit variabilitu – proměnlivý klíč
(analogicky: ZIP archiv pokaždé s trochu jiným formátem a jiným heslem)
23. února 20I7
Z pohledu AV společností
Z pohledu AV společností
23. února 20I7
Z pohledu AV společností
23. února 20I7
23. února 20I7
Něco pozitivního na závěr
23. února 20I7
23. února 20I7
Něco pozitivního na závěr
Jigsaw ransomware
ransomware lze obalamutit a zadarmo pak provede dešifrování
23. února 20I7
{“status”:”success”,”data”:{“address”:”<bitcoin-account>”,”balance”:0,”balance_multisig”:0},”code”:200,”message”:””}
{“status”:”success”,”data”:{“address”:”<bitcoin-account>”,”balance”:10,”balance_multisig”:0},”code”:200,”message”:””}
Něco pozitivního na závěr
23. února 20I7
Něco pozitivního na závěr
23. února 20I7
Něco pozitivního na závěr
23. února 20I7
hi!
Your files are encrypted because you don't give enough attention to the safety of your system.
To decrypt your data, you must to pay us. After payment we will send to you personal decoder.
We are not liars or cheaters. You pay - we help.
The more time you wait before you pay = the more expensive price. It's simple. Be reasonable.
Now the price is 4 BTC. After 24 hours, the price will grow. Hurry up!
all info about bitcoins here - https://localbitcoins.com/faq
bitcoins buys here - https://localbitcoins.com/
our wallet - 1FwHxzFFGbAmmdkxhUUTEjocuDhEowDyuU
this is your test file - https://dropfile.to/gNVUywj
Smlouvejte o ceně!
Něco pozitivního na závěr
Hello,
no christmas discount?
Igor Hak
------ Původní zpráva ------Od: "Jiwani Aaron" <[email protected]>Komu: [email protected]áno: 12.12.2016 15:44:37Předmět: RE: Crypted files & christmas time
23. února 20I7
Něco pozitivního na závěr
23. února 20I7
Něco pozitivního na závěr
23. února 20I7
Když to nejde odšifrovat hned, může to jít později!
Něco pozitivního na závěr
23. února 20I7
