По свидетельству Malwarebytes, за пять месяцев своего существования DMA Locker превратился из примитивного шифровальщика во вполне конкурентоспособное орудие вымогательства. Как сообщает Softpedia, анализ недавно объявившейся четвертой версии Windows-зловреда показал, что его авторы ввели поддержку C&C, осовременили процедуру шифрования, автоматизировали управление платежами. Доставка DMA Locker тоже осуществляется по-новому — с помощью эксплойт-пака (Neutrino).

Согласно хронологии Malwarebytes, вымогатель DMA Locker появился в январе текущего года. Устанавливался он вручную, через взлом удаленного рабочего стола, работал автономно и шифровал все файлы одним и тем же AES-ключом, прописанным в коде. Такая модель позволяла создать декриптор без особого труда, поэтому вирусописатели быстро выпустили новую версию. DMA Locker 2.0 использовал уже два алгоритма шифрования, AES и RSA, при этом для каждого файла на месте создавался 256-битный ключ, который после использования шифровался вшитым в код публичным RSA и в этом виде сохранялся в зашифрованном файле.

Практика показала, что реализованный в DMA Locker генератор случайных чисел весьма слаб, и к концу февраля появилась версия 3.0 — с исправлением. Тем не менее жертвы вымогательства сохранили шанс на бесплатную расшифровку: приватный ключ RSA был одинаков на протяжении всей вымогательской кампании, поэтому его можно было выкупить один раз и использовать многократно.

Четвертая, новейшая версия DMA Locker была обнаружена 19 мая; она вышла после долгого перерыва, но зато с многочисленными усовершенствованиями. Самое радикальное из них — переход на серверную модель. Вымогатель больше не шифрует файлы офлайн, ему нужна связь с C&C, и при ее отсутствии он ждет, когда пользователь подключится к Интернету. Авторы DMA Locker также впервые позаботились о защите своего детища от детектирования: воспользовались готовым криптором и снабдили исполняемый файл маскировочной pdf-иконкой.

Зловред по-прежнему шифрует файлы на локальных и сетевых дисках (даже неподключенных), оперируя черным списком вместо перечня целевых расширений, и для каждого файла генерирует уникальный 256-битный ключ с помощью Crypto API Windows — это нововведение появилось с выходом версии 3.0. Однако RSA-ключи теперь создаются на C&C-сервере и, похоже, повторно не используются; публичный отдается блокеру для шифрования AES-ключа, приватный он скачивает после уплаты выкупа для расшифровки. Обработав содержимое файла, DMA Locker 4.0, как и прежде, снабжает итог префиксом, в качестве которого использует свое имя с номером версии.

На сервере также формируется идентификатор жертвы, который DMA Locker получает вместе с публичным RSA и сохраняет на машине. Все коммуникации зловреда с C&C не шифруются, поэтому исследователям удалось получить представление об используемом протоколе. В частности, сервер по запросу возвращает информацию, необходимую для отображения условий платежа в каждом конкретном случае: величину выкупа (от 1 биткойна), сроки, включая крайний, по истечении которого приватный ключ уничтожается; степень увеличения суммы при отсрочке платежа и т.п.

Еще одной отличительной особенностью DMA Locker 4.0 является наличие пользовательского сайта. Ранее все коммуникации с вымогателями осуществлялись через электронную почту. Ныне жертва получает подробную информацию на сайте, пока очень простом, но уже позволяющем автоматизировать управление платежами. Опция пробной расшифровки (один файл бесплатно) предусмотрена, но, по свидетельству Malwarebytes, еще не отлажена: файлы исправно принимает, но не отдает результат.

Примечательно, что новый сайт размещен в Интернете, а не в анонимной сети, причем на том же IP-адресе, на котором поднят C&C-сервер. Это упрощает их выявление и блокировку одним махом. Связь по email злоумышленники решили пока сохранить как резервный вариант.

Стремительная эволюция DMA Locker и качественные изменения, которые пока лишены элемента новизны, но уже значительны, говорят о серьезности намерений его авторов. «Недавние перемены свидетельствуют о том, что этот продукт готовят к масштабной раздаче, — резюмируют эксперты. — Несколько важных элементов автоматизированы. Схема распространения теперь полагается на эксплойт-пак, что значительно расширяет охват мишеней. Покупка ключа и управление платежами осуществляются через отдельную панель, а не вручную, как прежде».

Способов бесплатной расшифровки файлов, полоненных DMA Locker 4.0, на настоящий момент нет.

Категории: Аналитика, Вредоносные программы, Главное