Ο ερευνητής ασφαλείας της Malwarebytes, Hasherezade ανακάλυψε ότι η πρόσφατη έκδοση του ransomware DMA Locker, βελτίωσε σημαντικά τις κακόβουλες διεργασίες του, και ετοιμάζεται για μια μαζική εκστρατεία διανομής.
Η πρώτη έκδοση του DMA Locker εμφανίστηκε τον περασμένο Ιανουάριο. Τεχνικά, το ransomware ήταν αστείο, καθώς περιείχε ξεκαρδιστικές ατέλειες, όπως το κλειδί αποκρυπτογράφησης που ήταν ενσωματωμένο στον κώδικα του ransomware. Το γεγονός καθιστούσε το ίδιο το κακόβουλο λογισμικό και Decrypter.
Έτσι οι ερευνητές δεν είχαν κανένα πρόβλημα αφού είχαν στα χέρια τους και τον Decrypter που βοηθούσε να ανακτήσουν μολυσμένα αρχεία. Το ίδιο συνέβαινε και με το DM Locker στην έκδοση 2.0, η οποία εμφανίστηκε σχεδόν ένα μήνα αργότερα, στις αρχές Φεβρουαρίου. Παρ ‘όλα αυτά, οι απατεώνες κατάφεραν να αναπτύξουν την έκδοση 3 και 4 οι οποίες αυτή τη στιγμή θεωρούνται undecryptable, ή για να το πούμε διαφορετικά είναι αδύνατον να αποκρυπτογραφηθούν.
Έκδοση 3.0, εμφανίστηκε στα τέλη Φεβρουαρίου, ήταν η πρώτη που οι αναλυτές δεν μπορούσαν να σπάσουν, καθώς χρησιμοποιούσε ένα καλύτερο σύστημα κρυπτογράφησης.
Όσον αφορά την έκδοση 4.0 του DM Locker, η νέα εφαρμογή διαθέτει πολλές βελτιώσεις, οι οποίες τοποθετούν πια το κακόβουλο λογισμικό από την μέτρια κατηγορία επικινδυνότητας ransomware κοντά στην κορυφή.
Το ransomware, το οποίο λειτουργούσε πάντα χωρίς σύνδεση, τώρα χρησιμοποιεί ένα διακομιστή διοίκησης και ελέγχου (C&C). Αντί για ένα μόνο κλειδί κρυπτογράφησης που ήταν ενσωματωμένο στο ίδιο το ransomware,το νέο DMA Locker δημιουργεί μοναδικά κλειδιά κρυπτογράφησης AES για κάθε αρχείο τα οποία (κλειδιά) κρυπτογραφεί με ένα δημόσιο κλειδί RSA που λαμβάνεται από τον διακομιστή C&C.
Έτσι για να αποκρυπτογραφηθούν όλα τα κλειδωμένα αρχεία, ο χρήστης χρειάζεται και το άλλο μέρος του κλειδιού RSA, το οποίο ονομάζεται ιδιωτικό κλειδί RSA. Το συγκεκριμένο κλειδί δεν υπάρχει και δεν θα υπάρξει ποτέ στον υπολογιστή του χρήστη. Για την απόκτηση του κλειδιού, το θύμα θα πρέπει να επικοινωνήσει με τους προγραμματιστές του DMA Locker.
Οι παλαιότερες εκδόσεις του ransomware απαιτούσαν από τους χρήστες να στείλουν ένα email στον προγραμματιστή για να αποκτήσουν τα κλειδιά αποκρυπτογράφησης. Το DMA Locker 4.0 είναι πλήρως αυτοματοποιημένο και έρχεται με τη δική του ιστοσελίδα, όπου οι χρήστες μπορούν να πληρώσουν λύτρα τους, ακριβώς όπως και τα άλλα ransomware.
Ωστόσο, η ιστοσελίδα δεν είναι πλήρως λειτουργική, και ο Hasherezade αναφέρει ότι η δοκιμή αποκρυπτογράφησης δεν επέστρεψε το αποκρυπτογραφημένο αρχείο. Επιπλέον, η ιστοσελίδα φιλοξενείται σε μια δημόσια IP, και όχι το Dark Web, καθιστώντας την επιρρεπή σε takedowns αλλά και ανίχνευση.
Η ιστοσελίδα μάλιστα φιλοξενείται από την ίδια διεύθυνση IP που χρησιμοποιεί ο διακομιστής C&C, κάτι το οποίο δεν είναι και τόσο έξυπνο από την πλευρά του απατεώνα.