Diavol Ransomware

Diavol Ransomware er en nyligt opdaget ransomware-trussel, der ikke er en del af nogen af de allerede etablerede ransomware-familier. Truslen blev opdaget af infosec-forskerne på Fortinet og blev implementeret sammen med en nyere version af Conti Ransomware. Diavol har en bred vifte af truende kapaciteter, og det udviser nogle ejendommelige valg foretaget af dets skabere.

Diavol Ransomware's egenskaber

Er ikke udstyret med nogen antidemonteringsforanstaltninger og er ikke pakket. Det anvender dog en usædvanlig teknik til at skjule sin kode. Truslen holder sine hovedrutiner inde i bitmapbilleder, der er gemt i sektionen PE-ressourcer. Uanset hvor hver rutine er nødvendig, kopierer malware bytes fra billedet og placerer dem i en global buffer, der har eksekveringstilladelser.

Når først Diavol er implementeret på det målrettede system, starter den sin programmering, der går gennem flere underrutiner, der hver har til opgave at udføre en anden aktivitet. Den første handling af ransomware er at generere en unik identifikator til den kompromitterede maskine. Diavol når også ud og opretter forbindelse med en Command-and-Control-server via en POST-anmodning.

Bagefter vil ransomware forsøge at maksimere rækkevidden, såvel som den skade, det kan forårsage ved at afslutte visse tjenester og processer. Truslen følger programmer, der potentielt kan forhindre den i at kryptere værdifulde brugerfiler såsom kontorapplikationer, webservere, virtuelle maskiner, økonomi- og regnskabssoftware, databaser osv. Under implementeringen af disse funktioner lavede cyberkriminelle dog flere bemærkelsesværdige fejl. som at blande funktionen til afslutning af processer og den til at stoppe tjenester. Desuden indeholder den hardkodede liste over målrettede processer også andre emner, såsom 'winword.exe.' Processlisten er i lignende uorden med kun de sidste tre poster, der ser ud til at være navnene på legitime processer, omend en af dem staves forkert.

Krypteringsprocessen

Langt størstedelen af ransomware-trusler anvender symmetriske krypteringsalgoritmer, når det kommer til at låse ofrets filer. Årsagen er ret enkel - symmetrisk kryptering er meget hurtigere og efterlader målet med mindre tid til at reagere, hvis trusselen om ransomware opdages. I en tofaseproces tager hackerne dekrypteringsnøglen til den symmetriske algoritme og kører kun den gennem en asymmetrisk algoritme, der skaber en offentlig og en privat nøgle. Diavol Ransomware bruger dog RSA asymmetrisk algoritme til hele sin krypteringsrutine. Det skal bemærkes, at Diavol genererer tekstfiler, der bærer sin løsesumnote i alle mapper, uanset om de indeholder krypterede filer eller ej. Tekstfilerne hedder 'README-FOR-DECRYPT.txt.'

Truslen forhindrer brugere i potentielt at gendanne deres låste filer via Windows-standardfunktionerne ved at slette Shadow Volume Copies. Det sidste trin udført af Diavol er at ændre skrivebordet på det kompromitterede system. Det skaber et nyt billede med sort baggrund og følgende meddelelse - Alle dine filer er krypteret! For mere information se 'README-FOR-DECRYPT.txt.' Standard skrivebordsbaggrund erstattes derefter med det nyoprettede billede.