Ransomware DMA Locker | Reglas YARA

En esta entrada presentare una regla en YARA para detectar las versiones del ransomware DMA Locker, desde la primera a la cuarta, que es la que actualmente esta infectando masivamente, y que tiene algunas variaciones interesantes respecto a las anteriores versiones como el uso de RSA  en lugar de AES (ya empleado en la tercera version) y la metodologia empleada para generar las claves. En unos dias publicare un analisis completo del binario.

De momento dejo la regla, que se basa en la deteccion de las cadenas de texto que todos los binarios de este malware incluyen.

rule DMALocker

{
meta:
Description = “Deteccion del ransomware DMA Locker desde la version 1.0 a la 4.0”
Author = “SadFud”
Date = “30/05/2016”

strings:
$uno = { 41 42 43 58 59 5a 31 31 }
$dos = { 21 44 4d 41 4c 4f 43 4b }
$tres = { 21 44 4d 41 4c 4f 43 4b 33 2e 30 }
$cuatro = { 21 44 4d 41 4c 4f 43 4b 34 2e 30 }

condition:
any of them

}

Hasta la proxima.

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s