Según la compañía Malwarebytes, en los cinco meses de su existencia el malware extorsionador DMA Locker se convirtió de un cifrador primitivo en una herramienta de extorsión muy competitiva. Como informa Softpedia, el análisis de la reciente cuarta versión de este malware para Windows mostró que sus autores le añadieron compatibilidad con servidores de administración, modernizaron el proceso de cifrado y automatizaron la gestión de pagos. La distribución de DMA Locker también se lleva a cabo de una manera nueva, a través de un paquete de exploits (Neutrino).
De acuerdo con la cronología de Malwarebytes, el extorsionador DMA Locker apareció en enero de este año. Se instalaba de forma manual, mediante el escritorio remoto, funcionaba de manera autónoma y cifraba todos los archivos con una misma clave AES especificada en su código. Este modelo hacía que fuese fácil crear un descifrador, razón por la cual los creadores del virus no tardaron mucho en publicar una nueva versión. DMA Locker 2.0 ya utilizaba dos algoritmos de cifrado, AES y RSA. Para cada archivo creaba una clave de 256 bits, y después de usarla la cifraba mediante el algoritmo RSA incluido en el código y la guardaba en el archivo cifrado.
La práctica mostró que el generador de cifras aleatorias implementado en DMA Locker era muy débil, y a finales de febrero apareció la versión 3.0, que corregía este defecto. No obstante, la víctima de extorsión conservaba la posibilidad de descifrado gratis: la clave privada RSA era la misma durante toda la campaña de extorsión, por lo que se la podía comprar una vez y utilizarla muchas veces.
La cuarta y más reciente versión de DMA Locker fue descubierta el 19 de mayo, después de una larga pausa, pero tenía muchas mejoras. La más radical de ellas es que empezó a usar servidores. El extorsionador ya no cifra los archivos por sí mismo, sino que ahora necesita una conexión con un servidor de administración y si no la tiene, espera a que el usuario se conecte a Internet. Los autores de DMA Locker también se preocuparon de hacer que su criatura sea indetectable: usaron un cifrador y el icono de PDF para camuflar su archivo ejecutable.
El malware sigue cifrando archivos en las unidades locales y de red (incluso si no están conectadas), usando una lista de rechazados en vez de una lista de extensiones, y para cada archivo genera una clave única de 256 bits utilizando la interfaz CryptoAPI de Windows. Esta innovación ya venía en la versión 3.0. Pero ahora las claves RSA se crean en el servidor de administración y, por lo visto, se usan una sola vez. La clave pública la envía al bloqueador para cifrar la clave AES y la privada se puede descargar sólo después de pagar el rescate. Después de procesar el contenido del archivo, DMA Locker 4.0, como antes, le pone un prefijo al resultado, que consiste en su nombre y número de versión.
En el servidor también se forma el ID víctima, que DMA Locker recibe junto con la clave RSA pública y guarda en el equipo. Para comunicarse con el servidor de administración, el malware no usa ningún tipo de cifrado, por lo que los investigadores fueron capaces de hacerse una idea del protocolo que utiliza. En particular, el servidor responde a una solicitud específica con la información necesaria para mostrar las condiciones de pago en cada caso en particular: la suma del rescate (desde 1 Bitcoin), los plazos, incluyendo el límite, después del cual se destruye la clave privada; el grado de aumento de la suma si se difiere su pago, etc.
Otra característica distintiva de DMA Locker 4.0 es que tiene un sitio web para usuarios. Antes toda la comunicación con los extorsionadores se realizaba a través del correo electrónico. Ahora la víctima recibe información detallada en un sitio web, que todavía es muy sencillo, pero que permite automatizar la gestión de pagos. Tiene prevista la opción de descifrar un archivo de forma gratuita, pero según Malwarebytes, todavía no funciona: acepta el archivo, pero todavía no entrega el resultado.
Es de destacar que el nuevo sitio está alojado en Internet y no en una red anónima, en la misma dirección IP que el servidor de administración. Esto hace que ambos sean más fáciles de identificar y bloquear. Los delincuentes decidieron mantener la comunicación por correo electrónico como una opción de reserva.
La rápida evolución de DMA Locker y sus cambios cualitativos -que todavía carecen de novedad pero son significativos- son un testimonio de que sus autores tienen intenciones serias. “Los cambios recientes indican que los delincuentes están preparando el producto para distribuirlo a gran escala, -resumen los expertos. Varios elementos importantes están automatizados. El esquema de propagación ahora se basa en paquetes de exploits, lo que amplía significativamente la cantidad de blancos que puede alcanzar. La compra de la llave y la gestión de los pagos se realizan a través de un panel independiente, y no de forma manual como antes”.
En este momento no existen formas gratuitas de descifrar los archivos cifrados por DMA Locker 4.0.
Fuentes: Softpedia
DMA Locker ya es mayor de edad