Recentemente i creatori di TeslaCrypt hanno deciso di mettere fine alla loro attività e di rendere pubblica la master key del ransomware, per permettere ai programmatori di costruire strumenti per decifrare gratuitamente i file criptati.
Ma il mondo del crimine informatico non si ferma mai e, per un ransomware che va, ce ne è sempre un altro pronto a calcare le scene: DMA Locker è in realtà una vecchia conoscenza, un ransowmare in giro già dallo scorso gennaio ma il cui algoritmo di cifratura era così debole da permettere ai ricercatori di scrivere rapidamente strumenti per la decifratura.
Almeno nelle sue prime versioni, perché DMA Locker 4 sembra purtroppo essere stato perfezionato:
I cambiamenti osservati di recente ci suggeriscono che [il malware] è in preparazione per essere distribuito su larga scala
hanno commentato i ricercatori di Malwarebytes, con cognizione di causa: sembra innanzitutto che le vulnerabilità della cifratura siano state risolte poiché la routine di cifratura delle chiavi RSA si svolge attraverso un server di controllo (cosa che invece non accadeva nelle prime versioni e che ha permesso il lavoro di reverse-engineering) e che, tra l’altro, il vettore di diffusione sia diventato il solito download truffaldino reperibile su siti web di dubbia moralità – inizialmente, DMA Locker si diffondeva tramite credenziali Remote Desktop rubate.
DMA Locker 4, al contrario dei suoi colleghi, possiede una lista piccola lista di estensioni file da non toccare cifrando invece tutto il resto e, come prevedibile, è in grado di criptare anche i file in rete e i dischi a cui il computer ha accesso in scrittura – anche se a questi non è stata associata una lettera di unità.
Insomma, un altro pericoloso ransomware che va ad aggiungersi ad una lista purtroppo già ricca: la buona notizia è che il server di controllo non è ancora presente sulla rete TOR e che dunque può (ancora) essere bloccato dai programmi di sicurezza prima ancora che le chiavi vengano generate (ed il ransomware diventi di fatto attivo), ma potrebbe non volerci molto affinché l’indirizzo del server stesso diventi imprevedibile.
DMA Locker 4 non è il primo né l’ultimo ransomware a far parlare di sé: non bisogna mai abbassare la guardia e stare sempre attenti a ciò che si scarica e si esegue, oltre che ad eseguire regolarmente backup dei documenti importanti e tenerli lontani dal computer che si utilizza giornalmente per navigare in rete.
I dati ringrazieranno!
