La festa per l’improvvisa “redenzione” dei creatori di TeslaCrypt, era ancora in corso, che i cyber-criminali, erano già all’opera per la creazione ed il perfezionamento del nuovo “flagello informatico”. Si chiama DMA Locker ed in realtà si tratta di una vecchia conoscenza, un ransomware in giro già dallo scorso gennaio ma il cui algoritmo di cifratura era così debole da permettere ai ricercatori di scrivere rapidamente strumenti per la decifratura. Tuttavia i suoi autori hanno dimostrato di avere una volontà ed una perseveranza di ferro.
Il ransomware adotta la solita strategia precedentemente descritta: a seguito dell’installazione sul computer-vittima, cifra tutti i file memorizzati sul PC e chiede un riscatto in Bitcoin in cambio della chiave per decrittarli.
Tuttavia la prima versione del ransomware adottava una chiave crittografica unica che era integrata nel codice del ransomware. Risultato: avendo a disposizione un esemplare del malware, era possibile decrittare i file senza grossi problemi.
La seconda versione a differenza della prima utilizzava un sistema leggermente più sofisticato. La chiave veniva generata casualmente per ogni file crittografato e la chiave pubblica stessa era codificata. Il “motore” di generazione randomica (casuale) delle chiavi, però, non era all’altezza del compito e questo ha permesso agli analisti di individuare molto rapidamente lo schema per creare una chiave di decodifica.
Si dice che il terzo tentativo è quello buono, e per la verità, c’erano andati molto vicini, “fixando” il sistema che regola la generazione della chiave, avevano reso impossibile risalire alla chiave per decrittare i file; non avevano calcolato, però, che la chiave per la decodifica, fosse uguale per tutti. Quindi “ottenuta una chiave, aperti tutti i lucchetti”.
Con il rilascio della versione 4.0 le “immature disattenzioni” delle vulnerabilità della cifratura siano state risolte poiché la procedura di cifratura delle chiavi RSA si svolge attraverso un server di controllo sono state purtroppo rimosse e adesso il pericolo è molto più che reale, DMA infatti ha la capacità di rimanere inattivo fino alla prima connessione del computer ad internet, tra l’altro, il vettore di diffusione in chiara ispirazione Manamecrypt, è diventato un download reperibile su siti web, rendendo DMA Locker un ibrido Trojan-ransomware ed un vettore informatico patogeno atipico; ricordiamo che in origine DMA Locker si diffondeva tramite credenziali Remote Desktop rubate.
“I cambiamenti osservati di recente ci suggeriscono che DMA Locker è in preparazione per essere distribuito su larga scala” è stato il commento dei ricercatori di Malwarebytes.
Nell’attesa di nuovi sviluppi consigliamo di aggiornare tutte le protezioni e di effettuare frequenti backup.
