勒索软件已经成为一种流行的犯罪业务,入口相对容易。即使是没有什么技术知识的人也可以基于一段时间前在互联网上发布的开放源代码构建自己的勒索软件。尽管如此,网络犯罪分子仍在继续偷窃,不仅从受害者那里偷,还从彼此那里偷。前段时间我们听说PetrWrap-基于臭名昭著的Petya二进制文件构建的勒索软件。但这并不是唯一的情况。一段时间以来,我们一直在观察威胁的演员分发补丁的DMA Locker二进制文件。
真实或被盗的直接存储器存取Locker -为什么你会关心?
观察到的DMA Locker被盗版本的样本是基于DMA Locker的一个相同实例构建的-因此,它们内部携带相同的公钥。这意味着,这个版本的所有受害者都可以在相同私钥的帮助下获得他们的数据。现在最好的部分来了:我们有这把钥匙,我们免费分发给所有受影响的人。
如果您是伪DMA Locker的受害者,您可以将加密文件的样本通过电子邮件发送到:hasherezade-at gmail.com
如何识别被盗版本?
由于伪DMA Locker是基于原始DMA Locker 3.0的二进制文件,它们具有完全相同的GUI -只有引用DMA Locker的关键字已被删除:
原始和被盗的DMA Locker之间的主要区别是加密文件开头的不同标记。虽然真正的DMA Locker前缀包含:!DMALOCK,但被盗版本有许多不同的前缀模式。我们观察到的有:
- XPTLOCK5.0 !
- 锁! # 2.0
- 锁!# # #
- 加密!# #
然而,威胁行为者会定期更改它们-因此,任何与标准模式不同的东西都可能表明我们正在处理“盗版”,可解密版本。
一个由伪DMA Locker加密的文件示例:
取回数据的机会有多大?
到目前为止,我们成功地帮助了假冒DMA储物柜的所有已知受害者。到目前为止,负责分发密钥的威胁行为者还没有更改密钥——因此,取回数据的前景仍然很大。然而,如果你被合法的DMA Locker攻击,得到帮助的机会就会大大减少,这可能乍一看是一样的。
如何预防攻击?
伪造的(以及原始的)DMA Locker的分发者通过被黑客攻击的远程桌面进入受害机器。因此,我们建议您注意是否打开了远程桌面,如果是这样,它是否得到了适当的保护。
分析示例
https://www.reverse.it/sample/38527d20338fb35717b349176b976610465d368123c083fb88115e982b367918?environmentId=100-伪DMA Locker,添加“!加密!”# #”前缀。
附录
目前发布的是DMALocker的3.0版本,因为4.0的开发已经被放弃了。阅读更多关于我们的研究:
评论