Ao que tudo indica, o ransomware DMA Locker começa a dar sinais de suas investidas, e pelo que foi possível perceber, a sua propagação será massiva, o que preocupa bastante os profissionais da área da segurança da informação. As suas duas primeiras versões, que apareceram em janeiro e fevereiro de 2016, foram facilmente frustradas devido a escolhas de gerenciamento de chaves de criptografia extremamente fracas. Mas, com a versão 4.0, os desenvolvedores finalmente conseguiram fazer os ajustes que precisavam: os arquivos são criptografados com AES-256 no modo BCE, a chave é gerada aleatoriamente para cada arquivo, cada chave é criptografado por RSA e armazenada no arquivo, e o par de chaves RSA é gerado no próprio servidor (um para cada cliente). Outras mudanças incluem relacionadas a esse ransomware incluem o fato de que o DMA Locker 4.0 pode não criptografar arquivos off-line - seria preciso que entrasse em contato com o servidor C & C e descarregasse a chave RSA pública para assim fazê-lo. Vale lembrar que o ransomware se comunica com o servidor usando um protocolo simples, baseado em HTTP.
Um site para as vítimas com instruções sobre como fazer os pagamentos de resgate agora é fornecido e, curiosamente, isso não é realizado na clandestinidade da Internet. Na verdade, o servidor C & C e este site compartilham o mesmo endereço IP. Para as vítimas, é dada a opção para decriptografar um arquivo de teste (mas o serviço ainda não está funcionando corretamente). A nova versão está sendo entregue através de kits exploit. Ao todo, copiando os recursos mais populares de outros ransomware que podem funcionar de maneira eficaz, DMA Locker finalmente começa a ser analisado como um ransomware perigoso e que pode trazer vários transtornos a quem for vítima dessa praga.
Saiba Mais:
[1] Malware & Ransomware - Technology News - http://www.pcworld.com/article/30748...d-attacks.html