Ransomware Revealed A Beginner’s Guide to Protecting and Recovering from Ransomware Attacks — Nihad A. Hassan Ransomware Revealed A Beginner’s Guide to Protecting and Recovering from Ransomware Attacks Nihad A. Hassan Ransomware Revealed: A Beginner’s Guide to Protecting and Recovering from Ransomware Attacks Nihad A. Hassan New York, USA ISBN-13 (pbk): 978-1-4842-4254-4 ISBN-13 (electronic): 978-1-4842-4255-1 https://doi.org/10.1007/978-1-4842-4255-1 Copyright © 2019 by Nihad A. Hassan This work is subject to copyright. All rights are reserved by the Publisher, whether the whole or part of the material is concerned, specifically the rights of translation, reprinting, reuse of illustrations, recitation, broadcasting, reproduction on microfilms or in any other physical way, and transmission or information storage and retrieval, electronic adaptation, computer software, or by similar or dissimilar methodology now known or hereafter developed. Trademarked names, logos, and images may appear in this book. Rather than use a trademark symbol with every occurrence of a trademarked name, logo, or image we use the names, logos, and images only in an editorial fashion and to the benefit of the trademark owner, with no intention of infringement of the trademark. The use in this publication of trade names, trademarks, service marks, and similar terms, even if they are not identified as such, is not to be taken as an expression of opinion as to whether or not they are subject to proprietary rights. While the advice and information in this book are believed to be true and accurate at the date of publication, neither the authors nor the editors nor the publisher can accept any legal responsibility for any errors or omissions that may be made. The publisher makes no warranty, express or implied, with respect to the material contained herein. Managing Director, Apress Media LLC: Welmoed Spahr Acquisitions Editor: Susan McDermott Development Editor: Laura Berendson Coordinating Editor: Rita Fernando Cover designed by eStudioCalamar Cover image designed by Pixabay Distributed to the book trade worldwide by Springer Science+Business Media New York, 233 Spring Street, 6th Floor, New York, NY 10013. Phone 1-800-SPRINGER, fax (201) 348-4505, e-mail orders-ny@springer-sbm. com, or visit www.springeronline.com. Apress Media, LLC is a California LLC and the sole member (owner) is Springer Science + Business Media Finance Inc (SSBM Finance Inc). SSBM Finance Inc is a Delaware corporation. For information on translations, please e-mail [email protected], or visit www.apress.com/ rights-permissions. Apress titles may be purchased in bulk for academic, corporate, or promotional use. eBook versions and licenses are also available for most titles. For more information, reference our Print and eBook Bulk Sales web page at www.apress.com/bulk-sales. Any source code or other supplementary material referenced by the author in this book is available to readers on GitHub via the book's product page, located at www.apress.com/9781484242544. For more detailed information, please visit www.apress.com/source-code. Printed on acid-free paper To my mom, Samiha, thank you for everything. Without you, I’m nothing. —Nihad A. Hassan Table of Contents About the Author �����������������������������������������������������������������������������������������������������xi About the Technical Reviewer �������������������������������������������������������������������������������xiii Acknowledgments ���������������������������������������������������������������������������������������������������xv Introduction �����������������������������������������������������������������������������������������������������������xvii Part I: Introduction to Ransomware Threats ��������������������������������������������������1 Chapter 1: Ransomware Overview ���������������������������������������������������������������������������3 The History and Evolution of Ransomware �����������������������������������������������������������������������������������4 Computer Malware ������������������������������������������������������������������������������������������������������������������������9 Malware Types �������������������������������������������������������������������������������������������������������������������������9 Malware Components ������������������������������������������������������������������������������������������������������������14 Ransomware Types ���������������������������������������������������������������������������������������������������������������������17 Locker Ransomware ��������������������������������������������������������������������������������������������������������������18 Crypto Ransomware ��������������������������������������������������������������������������������������������������������������18 Other Types of Digital Blackmail ��������������������������������������������������������������������������������������������19 Differences Between Ransomware and Other Malware Types ���������������������������������������������������21 Ransomware Symptoms �������������������������������������������������������������������������������������������������������������22 Primary Targets of Ransomware Attacks ������������������������������������������������������������������������������������23 Notification Requirements of Ransomware Attacks ��������������������������������������������������������������������26 Summary�������������������������������������������������������������������������������������������������������������������������������������28 v Table of ConTenTs Chapter 2: Ransomware Distribution Methods �������������������������������������������������������29 E-mail ������������������������������������������������������������������������������������������������������������������������������������������29 Spam E-mail ��������������������������������������������������������������������������������������������������������������������������30 Watering Hole Attacks �����������������������������������������������������������������������������������������������������������������33 Malvertising ��������������������������������������������������������������������������������������������������������������������������������34 Exploit Kits ����������������������������������������������������������������������������������������������������������������������������������34 USB and Removable Media ���������������������������������������������������������������������������������������������������������36 Pirated Content Web Sites�����������������������������������������������������������������������������������������������������������37 Microsoft Office Macros ��������������������������������������������������������������������������������������������������������������38 Ransomware as a Service ����������������������������������������������������������������������������������������������������������39 Remote Desktop Connection �������������������������������������������������������������������������������������������������������40 Managed Service Providers ��������������������������������������������������������������������������������������������������������42 Botnets ����������������������������������������������������������������������������������������������������������������������������������������42 Zero-Day Vulnerability �����������������������������������������������������������������������������������������������������������������43 Lack of Training ���������������������������������������������������������������������������������������������������������������������������43 Stages of a Ransomware Attack �������������������������������������������������������������������������������������������������44 Why Can’t Antivirus Software Detect Ransomware? ������������������������������������������������������������������45 Summary�������������������������������������������������������������������������������������������������������������������������������������46 Chapter 3: Ransomware Families ���������������������������������������������������������������������������47 Ryuk ��������������������������������������������������������������������������������������������������������������������������������������������47 WannaCry ������������������������������������������������������������������������������������������������������������������������������������50 How Did WannaCry Spread? ��������������������������������������������������������������������������������������������������51 Cerber �����������������������������������������������������������������������������������������������������������������������������������������52 Locky �������������������������������������������������������������������������������������������������������������������������������������������55 Petya �������������������������������������������������������������������������������������������������������������������������������������������56 SamSam ��������������������������������������������������������������������������������������������������������������������������������������57 DMA Locker ���������������������������������������������������������������������������������������������������������������������������������59 CryptXXX �������������������������������������������������������������������������������������������������������������������������������������61 CryptoWall �����������������������������������������������������������������������������������������������������������������������������������63 Summary�������������������������������������������������������������������������������������������������������������������������������������66 vi Table of ConTenTs Part II: Ransomware Mitigation Strategies ��������������������������������������������������69 Chapter 4: Endpoint Defense Strategies �����������������������������������������������������������������71 Install Security Solutions ������������������������������������������������������������������������������������������������������������72 Antivirus Detection Techniques ���������������������������������������������������������������������������������������������73 Update OS and Installed Applications �����������������������������������������������������������������������������������������76 Virtualization Technology ������������������������������������������������������������������������������������������������������������77 Secure Web Browsing �����������������������������������������������������������������������������������������������������������������78 Block Web Page Redirect �������������������������������������������������������������������������������������������������������81 Web Browser Add-ons �����������������������������������������������������������������������������������������������������������83 Defend Against Exploit Kits ���������������������������������������������������������������������������������������������������������84 Disable Macros in Office Files �����������������������������������������������������������������������������������������������������84 Disable Windows Script Host ������������������������������������������������������������������������������������������������������84 Use a Least Privilege Account �����������������������������������������������������������������������������������������������������86 Do Not Install Pirated Software ���������������������������������������������������������������������������������������������������90 USB Thumb Drive Security ����������������������������������������������������������������������������������������������������������91 Avoid Public Phone Chargers ������������������������������������������������������������������������������������������������������92 Change Important File Extensions ����������������������������������������������������������������������������������������������92 Mobile Device Security ���������������������������������������������������������������������������������������������������������������93 Back Up Your Data �����������������������������������������������������������������������������������������������������������������������93 Windows Backup Function ����������������������������������������������������������������������������������������������������94 Third-Party Backup ����������������������������������������������������������������������������������������������������������������96 Enable the Shadow Copy Feature in Windows ����������������������������������������������������������������������96 Configure Windows to Better Fight Ransomware �����������������������������������������������������������������������98 Show File Extensions�������������������������������������������������������������������������������������������������������������99 Disable AutoPlay ������������������������������������������������������������������������������������������������������������������100 Disable Remote Desktop Protocol ���������������������������������������������������������������������������������������103 Enable Software Restriction Policies �����������������������������������������������������������������������������������106 Summary�����������������������������������������������������������������������������������������������������������������������������������113 vii Table of ConTenTs Chapter 5: Enterprise Defense Strategies Against Ransomware Attacks�������������115 Efficient Patch Management �����������������������������������������������������������������������������������������������������116 Patch Management Tools ����������������������������������������������������������������������������������������������������118 Harden Your Environment ���������������������������������������������������������������������������������������������������������119 Physical Security �����������������������������������������������������������������������������������������������������������������119 Network Segmentation ��������������������������������������������������������������������������������������������������������120 Deploy a Generic Anti-ransomware Product ������������������������������������������������������������������������121 Use Least-Privilege Accounts ����������������������������������������������������������������������������������������������122 Vulnerability Management ��������������������������������������������������������������������������������������������������������122 Vulnerability Scanning Tools ������������������������������������������������������������������������������������������������123 Next-Generation Firewalls ��������������������������������������������������������������������������������������������������������123 Intrusion Detection Systems and Intrusion Prevention Systems ����������������������������������������������125 Network Sandboxing �����������������������������������������������������������������������������������������������������������������127 Malicious URL Blocking �������������������������������������������������������������������������������������������������������������127 Create Honeypots ����������������������������������������������������������������������������������������������������������������������129 Network Performance Baseline ������������������������������������������������������������������������������������������������130 E-mail Security �������������������������������������������������������������������������������������������������������������������������131 Advanced E-mail Spam Filtering �����������������������������������������������������������������������������������������132 Block Attachments ���������������������������������������������������������������������������������������������������������������134 Implement a Data Classification Policy �������������������������������������������������������������������������������������135 Enforce Strong Password Requirements ����������������������������������������������������������������������������������136 Implement a Software Usage Restriction Policy �����������������������������������������������������������������������137 Windows AppLocker ������������������������������������������������������������������������������������������������������������138 DNS Security �����������������������������������������������������������������������������������������������������������������������������146 Data Sanitization �����������������������������������������������������������������������������������������������������������������������147 Govern USB Drive Use ���������������������������������������������������������������������������������������������������������������147 Maintain Effective Backup and Recovery Strategy �������������������������������������������������������������������148 Data Loss Prevention ����������������������������������������������������������������������������������������������������������������149 Tools to Measure the Effectiveness of Your Defenses ���������������������������������������������������������������150 viii Table of ConTenTs Enforce a Security Policy ����������������������������������������������������������������������������������������������������������151 Major Elements of a Security Policy Document �������������������������������������������������������������������151 Why Do You Need a Security Policy? �����������������������������������������������������������������������������������153 Summary�����������������������������������������������������������������������������������������������������������������������������������154 Chapter 6: Security Awareness Training ��������������������������������������������������������������155 Importance of Security Awareness Training ������������������������������������������������������������������������������156 Reduces Data Breaches and Attacks �����������������������������������������������������������������������������������156 Meets Compliance Requirements ����������������������������������������������������������������������������������������157 Enhances Overall Organization Security and Increases Its Reputation �������������������������������157 Increases the Effectiveness of Technological Defenses ������������������������������������������������������158 Avoids Losses from Security Incidents ��������������������������������������������������������������������������������158 Increases Employee Satisfaction �����������������������������������������������������������������������������������������158 Best Practices When Developing a Cybersecurity Awareness Program ������������������������������������158 Create the Security Awareness Team ����������������������������������������������������������������������������������159 Determine Roles for Security Awareness ����������������������������������������������������������������������������159 Topics Covered in Cybersecurity Awareness Training ����������������������������������������������������������160 Official Reference Materials to Develop a Security Awareness Training Program ���������������162 Security Awareness Training Content ����������������������������������������������������������������������������������������163 Social Engineering Attacks ��������������������������������������������������������������������������������������������������163 Summary�����������������������������������������������������������������������������������������������������������������������������������173 Part III: Dealing with Ransomware Incidents ���������������������������������������������175 Chapter 7: Paying the Ransom �����������������������������������������������������������������������������177 Choosing to Pay the Ransom ����������������������������������������������������������������������������������������������������178 Anonymous Payments ���������������������������������������������������������������������������������������������������������179 What Should I Do If I’ve Already Paid? ���������������������������������������������������������������������������������187 Choosing to Not Pay the Ransom ����������������������������������������������������������������������������������������������188 Summary�����������������������������������������������������������������������������������������������������������������������������������189 ix Table of ConTenTs Chapter 8: Ransomware Decryption Tools ������������������������������������������������������������191 Identify the Ransomware You’ve Been Infected With ����������������������������������������������������������������192 Popular Ransomware Removal Tools ����������������������������������������������������������������������������������������193 Tools for Screen-Locking Ransomware �������������������������������������������������������������������������������193 Encryption Ransomware Decryptors �����������������������������������������������������������������������������������194 Recover Deleted Files ���������������������������������������������������������������������������������������������������������������197 Resources for Tracking Ransomware ����������������������������������������������������������������������������������������198 Summary�����������������������������������������������������������������������������������������������������������������������������������201 Chapter 9: Responding to Ransomware Attacks ��������������������������������������������������203 Ransomware Incident Lifecycle ������������������������������������������������������������������������������������������������204 Preparation ��������������������������������������������������������������������������������������������������������������������������204 Detection and Analysis ��������������������������������������������������������������������������������������������������������206 Containment, Eradication, and Recovery �����������������������������������������������������������������������������208 Post-Incident Activity �����������������������������������������������������������������������������������������������������������212 Summary�����������������������������������������������������������������������������������������������������������������������������������212 Index ���������������������������������������������������������������������������������������������������������������������213 x