新的DMA储物柜赎金软件正在增加广泛的攻击
最近的Teslacrypt创作者称为它退出,但不幸的是,对于用户来说,这是一个新的赎金软件程序,即准备好占用它的位置。
被称为DMA储物柜,这种威胁首次出现在1月份,但它的加密实施是如此缺陷,这很难认真对待它。研究人员对前两个版本开发文件恢复工具没有问题。
然而,它的作者最近修复了所有问题和恶意软件研究人员认为,通过新发布的版本4,DMA储物柜已达到成熟,可能是在广泛攻击中击中用户的下一件事。
“最近观察到的变化表明,该产品正在准备以大规模分布,”Malwarebytes在博客文章中表示。
以前的版本通过弱或被盗的远程桌面凭据达到受感染的计算机。但是,新版本通过基于Web的驱动器通过下载攻击分发,该攻击依赖于利用套件,这意味着更大数量的计算机可能会受到影响。
另一个大的变化是,加密例程现在依赖于命令和控制服务器,以为每种感染生成唯一的公共和专用RSA键。
恶意软件首先为其加密的每个文件生成唯一的AES(高级加密标准)密钥。然后使用公共RSA密钥加密该密钥,并将附加到文件的开头。
为了解密受影响的文件,用户需要攻击者拥有的相应私有RSA密钥,以便为每个文件恢复AES键,然后使用这些键解密其内容。
以前的DMA储物柜版本未使用命令和控制服务器,因此RSA私钥在计算机上存储,可以通过逆向工程恢复,或者使用相同的公钥密钥对进行整个广告系列。这意味着如果有人为私有RSA键支付,那么相同的键将在多台计算机上工作,并且可以与其他受害者共享。
通过采用基于服务器的模型来修复所有这些问题,这对于大多数其他赎金软件程序如何工作,这是典型的。一旦感染计算机,DMA储物柜现在将等待与要建立的服务器的连接,以便发送唯一的计算机ID,并为其生成唯一的RSA公钥。
好消息是,现在,服务器未托管在TOR匿名网络上,因此应该通过安全产品来阻止它,防止恶意软件从曾经启动其加密例程。
DMA储物柜也脱颖而出它如何选择要加密的文件。几乎所有文件加密RansomWare程序都有一个文件扩展名单,它们将为目标。相反,DMA储物柜有一个扩展列表,它不会触摸,加密其他一切,并可能导致更多损坏。
它还将加密计算机具有写入访问的网络共享文件,即使这些共享未在本地映射到驱动器号。
一如既往,与赎金软件程序预防是关键。对仅暂时从计算机暂时访问的位置执行常规备份,例如仅在备份操作期间连接的USB硬盘驱动器,非常重要。