El ransomware DMA Locker apareció a principios de este año y se ha descubierto que tiene un cifrado débil que lo deja ver como un ransomware del que no hay que preocuparse. Apareció por primera vez en Polonia y ya se ha extendido a otros países. El mensaje de bloqueo puede estar en polaco o en inglés, exigiendo un rescate de 2 Bitcoin (casi $800 USD) por el descifrado de los archivos.
El ransomware se distribuye en modo plano, sin ningún empaquetado ni defensa. En el aviso de bloqueo el ransomware menciona que los datos están cifrados por AES y RSA, lo cual es falso ya que en realidad utilizan su propio algoritmo simétrico de cifrado, que no es fuerte como pretende aparecer y por lo cual es fácil de romper. La función de descifrado es mediante una llave de 32 caracteres. La llave que supuestamente será proporcionada al ser pagado el rescate al atacante.
DMA Locker detecta -y detiene en su caso- la ejecución de los procesos derivados de rstrui.exe, ShadowExplorer.exe, sesvc.exe, y cbengine.exe para evitar la recuperación del sistema y de los archivos afectados por el ransomware.
El ransomware evita el cifrado de archivos específicos utilizando listas negras con directorios y extensiones de archivos. Todos los demás archivos fuera de tales criterios serán cifrados por DMA Locker.
Los expertos de Malwarebytes han dicho que el ransomware es un trabajo de principante y que la llave de cifrado se puede recuperar fácilmente con la copia original de la muestra del malware. Típicamente esta muestra está en el origen de la infección, por ejemplo el archivo adjunto de correo electrónico.
Es importante no creer en todo lo que los autores de malware dicen. En caso de recibir el aviso o popup del ransomware es mejor investigarlo, obtener información del ransomware, en lugar de entrar en pánico o ceder a la extorsión. Si no hay información disponible, es recomendable preguntar en los foros especializados o a su proveedor de soluciones de seguridad.