DMA Locker den Kinderschuhen entwachsen

Nach Angaben von Malwarebytes hat sich der Schädling innerhalb seiner bisherigen 5monatigen Lebenszeit von einem primitiven Verschlüsselungsprogramm in ein rundherum wettbewerbsfähiges Erpresserwerkzeug verwandelt. Wie Softpedia mitteilt, hat eine Analyse der kürzlich aufgetauchten vierten Version des Windows-Schädlings gezeigt, dass seine Autoren C&C-Support eingeführt, die Verschlüsselungsprozedur modernisiert und den Bezahlvorgang automatisiert haben. Außerdem wir DMA Locker nun auch auf eine andere Weise in Umlauf gebracht, und zwar mit Hilfe eines Exploit-Packs (Neutrino).

Gemäß der Chronologie von Malwarebytes erschien die Ransomware DMA Locker erstmals im Januar dieses Jahres auf der Bildfläche. Sie wurde manuell installiert, über den Hack eines entfernten Desktops, funktionierte autonom und verschlüsselte alle Dateien mit ein und demselben AES-Schlüssel, der in den Code geschrieben war. Dieses Modell machte die Entwicklung eines Decodierers einfach, daher brachten die Virenschreiber schnell eine neue Version heraus. DMA Locker 2.0 verwendete bereits zwei Verschlüsselungsalgorithmen, AES und RSA, dabei wurde für jede Datei vor Ort ein Schlüssel mit einer Länge von 256 Bit entwickelt, der nach der Benutzung mit einem in den Code geschriebenen öffentlichen RSA verschlüsselt und in dieser Form in einer chiffrierten Datei gespeichert wurde.

Die Praxis hat gezeigt, dass der in DMA Locker umgesetzte Zufallszahlengenerator sehr schwach war und Ende Februar erschien die Version 3.0 mit einer entsprechenden Verbesserung. Trotzdem hatten die Erpressungsopfer noch immer die Chance auf eine kostenlose Dechiffrierung: Der private RSA-Schlüssel hatte sich im Verlauf der gesamten Erpresser-Kampagne nicht geändert, daher konnte man ihn einmal kaufen und beliebig oft verwenden.

Die vierte, neuste Version von DMA Locker wurde am 19. Mai entdeckt; sie erschien nach einer langen Pause, dafür aber mit zahlreichen Verbesserungen. Die radikalste Veränderung lag in dem Wechsel zu einem Server-Modell. Die Ransomware verschlüsselt die Dateien nun nicht mehr offline, sondern er benötigt eine Verbindung zum C&C. Ist diese nicht gegeben, muss er warten, bis der Nutzer sich mit dem Internet verbindet. Die Autoren von DMA Locker haben sich außerdem erstmals Gedanken über den Schutz ihres Machwerks vor Erkennung gemacht: Sie verwendeten einen fertigen Chiffrierer und tarnten die ausführbare Datei mit einem pdf-Icon.

Der Schädling verschlüsselt nach wie vor Dateien auf lokalen und Netzwerkfestplatten (selbst nicht verbundene) und operiert dabei mit einer Schwarzen Liste und nicht mit einem Katalog von Erweiterungen, und er generiert für jede Datei einen einmaligen 256-Bit-Schlüssel mit Hilfe der Microsoft Cryptography API für Windows. Diese Neuerung wurde mit Erscheinen der Version 3.0 eingeführt. Allerdings wird der RSA-Schlüssel jetzt auf dem C&C-Server erstellt und, wie’s aussieht, nicht mehrfach verwendet; öffentlich bleibt der Blocker für die Verschlüsselung des AES-Schlüssels, den privaten lädt er nach Bezahlung des Lösegeldes für die Dechiffrierung. Nachdem er den Inhalt einer Datei bearbeitet hat, stattet DMA Locker 4.0 das Ergebnis seiner Arbeit wie gehabt mit einem Präfix aus, das in diesem Fall mit seinem Namen und seiner Versionsnummer identisch ist.

Auf dem Server wird zudem auch eine ID des Opfers erstellt, die DMA Locker zusammen mit dem öffentlichen RSA-Schlüssel erhält und auf dem Rechner speichert. Die gesamte Kommunikation des Schädlings mit dem C&C wird nicht verschlüsselt, daher konnten die Forscher eine Vorstellung über das verwendete Protokoll erhalten. So gibt der Server auf Anfrage die Informationen zurück, die für die Darstellung der Zahlungsbedingungen in jedem konkreten Fall unerlässlich sind: Höhe des Lösegeldes (ab einem Bitcoin), Frist, inklusive äußerste, nach Ablauf derer der private Schlüssel zerstört wird; Grad, in dem die Summe bei Fristverschiebung steigt usw.

Eine andere Besonderheit von DMA Locker 4.0 ist die neu eingeführte Nutzer-Website. Früher lief die gesamte Kommunikation mit den Erpressern über E-Mail. Jetzt erhält das Opfer detaillierte Informationen auf der Website, die bisher noch recht einfach ist, allerdings schon die automatisierte Steuerung der Bezahlvorgänge ermöglicht. Die Option einer Test-Dechiffrierung (1 Datei ist umsonst) ist vorgesehen, aber laut Malwarebytes bisher noch nicht vollständig eingerichtet: Die Dateien werden korrekt angenommen, aber das Ergebnis wird nicht ausgegeben.

Bemerkenswert ist, dass die neue Website im Internet untergebracht ist und nicht in einem anonymen Netzwerk, zumal unter derselben IP-Adresse, unter der auch der C&C-Server erreichbar ist. Das erleichtert ihre Identifizierung und Blockierung in einem Rutsch. Die E-Mail-Verbindung halten die Cybergangster als Reserve noch aufrecht.

Die rasante Evolution von DMA Locker und die qualitativen Veränderungen, die bisher noch keine nie dagewesenen Elemente enthalten, aber schon bedeutsam sind, zeugen von den ernsthaften Absichten der Autoren. „Die jüngsten Neuerungen zeugen davon, dass dieses Produkt auf die massenhafte Verbreitung vorbereitet wird“, resümieren die Experten. „Einige wichtige Elemente wurden automatisiert. Das Verbreitungsschema basiert jetzt auf einem Exploit-Pack, was das Zielspektrum wesentlich verbreitert. Der Kauf des Schlüssels und die Steuerung der Bezahlprozesse werden über ein separates Paneel realisiert, und nicht manuell, wie vorher.“

Derzeit ist keine Möglichkeit bekannt, die von DMA Locker 4.0 gekaperten Dateien kostenlos zu dechiffrieren.

Quelle: Softpedia

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.