среда, 25 мая 2016 г.

DMA Locker 4.0

DMA Locker 4.0 Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей с помощью AES-256 (режим ECB, RSA-2048 ключ; ключ генерируется случайным образом для каждого файла, шифруется RSA и сохраняется в файле), а затем требует выкуп в 1-2 (~$ 440 за 1 BTC на 24 мая 2016 г.), чтобы вернуть файлы обратно. C 25 мая уже 3 BTC, с 26 мая - 4 BTC. Аппетиты вымогателей ужасающе растут. 

  К зашифрованным файлам никакое специальное расширение не добавляется, но вместо этого добавляется префикс !DMALOCK4.0 в заголовок зашифрованного файла. В остальном имя файла остается прежним. Можно проверить файл в шестнадцатеричном редакторе и первые 9 байт будут содержать строку !DMALOCK4. По этому признаку можно опознать "работу" криптовымогателя. Шифруются почти все системные и пользовательские файлы на всех локальных, внешних и сетевых дисках. 

  Текстовый вариант записки о выкупе называется cryptinfo.txt, он сохраняется в папке Program Data и отображается при загрузке Windows. Экран блокировки (файл cryptinfo.png) см. ниже. Он ставится в качестве обоев Рабочего стола. 
 

  Email вымогателя, указанный на экране блокировки и в записках, dma4004@zerobit.en 

  Распространяется с помощью email-спама и вредоносных вложений, фишинг-рассылок и ссылок на зараженные эксплойтами сайты, через вредоносный JavaScript, поддельные обновления Adobe Flash Player. А также при помощи набора эксплойтов Neutrino, который эксплуатирует уязвимости в компонентах Java Runtime Environment Oracle. 

  При целевых атаках на организации сумма выкупа может быть гораздо выше и уже в долларах. Такое многообразное распространение и поддержка уже 4-й версии может говорить только о развертывании широкомасштабных и целенаправленных атак. Потому степень распространенности с учетом этих показателей — высокая.  

  Запустившись в первый раз на ПК, DMA Locker 4.0 проверяет какие процессы и приложения используются для резервного копирования данных и восстановление системы, и завершает их работу. Теневые копии файлов удаляются. 

  DMA Locker 4.0 получил веб-сайт, где объясняется, как заплатить выкуп. Примечательно, что сумма выкупа на этом сайте может отличаться от затребованной.  

 В программном плане исследователями замечены некоторые недостатки в работе этого вымогательского ПО и его декриптера, что может говорить о том, что создатели вредоноса работают на скорую руку. В связи с этим, в скором времени следует ожидать появления 5-й версии вымогателя, где недостатки 4-й версии будут, наверняка, исправлены. Мы намеренно их не озвучиваем, чтобы не помогать вымогателям делать своё черное дело. 

Степень распространенности: перспективно высокая.
Подробные сведения собираются. 


Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *