Diavol Ransomware

डियावोल रैंसमवेयर एक नया पता चला रैंसमवेयर खतरा है जो पहले से स्थापित रैंसमवेयर परिवारों में से किसी का हिस्सा नहीं है। इस खतरे का पता फोर्टिनेट के इन्फोसेक शोधकर्ताओं ने लगाया था और इसे कोंटी रैनसमवेयर के एक नए संस्करण के साथ तैनात किया गया था। डियावोल में खतरनाक क्षमताओं की एक विस्तृत श्रृंखला है और यह अपने रचनाकारों द्वारा किए गए कुछ अजीबोगरीब विकल्पों को प्रदर्शित करता है।

डियावोल रैंसमवेयर के लक्षण

किसी भी विच्छेदन-विरोधी उपायों से सुसज्जित नहीं है और पैक नहीं किया गया है। हालाँकि, यह अपने कोड को अस्पष्ट करने के लिए एक असामान्य तकनीक का उपयोग करता है। पीई संसाधन अनुभाग में संग्रहीत बिटमैप छवियों के अंदर खतरा अपनी मुख्य दिनचर्या रखता है। जहां भी प्रत्येक रूटीन की आवश्यकता होती है, मैलवेयर छवि से अपने बाइट्स की प्रतिलिपि बनाता है और उन्हें एक वैश्विक बफर में रखता है जिसमें निष्पादन अनुमतियां होती हैं।

एक बार लक्षित प्रणाली पर तैनात होने के बाद, डायवोल अपनी प्रोग्रामिंग शुरू करता है जो कई सबरूटीन के माध्यम से जाता है, प्रत्येक को एक अलग गतिविधि करने का काम सौंपा जाता है। रैंसमवेयर की पहली क्रिया हैक की गई मशीन के लिए एक विशिष्ट पहचानकर्ता उत्पन्न करना। Diavol एक POST अनुरोध के माध्यम से एक कमांड-एंड-कंट्रोल सर्वर के साथ संपर्क स्थापित करता है और एक कनेक्शन स्थापित करता है।

बाद में, रैंसमवेयर अपनी पहुंच को अधिकतम करने का प्रयास करेगा, साथ ही कुछ सेवाओं और प्रक्रियाओं को समाप्त करने से होने वाले नुकसान को भी। खतरा उन कार्यक्रमों के बाद जाता है जो संभावित रूप से कार्यालय अनुप्रयोगों, वेब सर्वर, वर्चुअल मशीन, वित्तीय और लेखा सॉफ्टवेयर, डेटाबेस इत्यादि जैसे मूल्यवान उपयोगकर्ता फ़ाइलों को एन्क्रिप्ट करने से रोक सकते हैं। हालांकि, इन कार्यों के कार्यान्वयन के दौरान, साइबर अपराधियों ने कई ध्यान देने योग्य गलतियां कीं जैसे प्रक्रियाओं को समाप्त करने के लिए फ़ंक्शन को मिलाना और सेवाओं को रोकने के लिए एक। इसके अलावा, लक्षित प्रक्रियाओं की हार्डकोड सूची में अन्य आइटम भी शामिल हैं, जैसे 'winword.exe'। प्रक्रिया सूची इसी तरह की अव्यवस्था में है, केवल अंतिम तीन प्रविष्टियाँ कानूनी प्रक्रियाओं के नाम प्रतीत होती हैं, यद्यपि उनमें से एक की वर्तनी गलत है।

एन्क्रिप्शन प्रक्रिया

जब पीड़ित की फाइलों को लॉक करने की बात आती है तो रैंसमवेयर खतरों का अधिकांश हिस्सा सममित एन्क्रिप्शन एल्गोरिदम का उपयोग करता है। कारण काफी सरल है - रैंसमवेयर खतरे का पता चलने पर प्रतिक्रिया देने के लिए कम समय के साथ लक्ष्य को छोड़कर सममित एन्क्रिप्शन बहुत तेज है। दो चरणों की प्रक्रिया में, हैकर्स सममित एल्गोरिथम के लिए डिक्रिप्शन कुंजी लेते हैं और इसे केवल एक असममित एल्गोरिथम के माध्यम से चलाते हैं जो एक सार्वजनिक और एक निजी कुंजी बनाएगा। हालांकि, डियावोल रैनसमवेयर अपने संपूर्ण एन्क्रिप्शन रूटीन के लिए आरएसए एसिमेट्रिक एल्गोरिथम का उपयोग करता है। यह ध्यान दिया जाना चाहिए कि Diavol सभी फ़ोल्डरों में अपने फिरौती नोट को लेकर टेक्स्ट फाइलें बनाता है, भले ही उनमें एन्क्रिप्टेड फाइलें हों या नहीं। टेक्स्ट फाइलों को 'README-FOR-DECRYPT.txt' नाम दिया गया है।

यह खतरा उपयोगकर्ताओं को शैडो वॉल्यूम कॉपी को हटाकर डिफ़ॉल्ट विंडोज सुविधाओं के माध्यम से उनकी लॉक की गई फ़ाइलों को संभावित रूप से पुनर्स्थापित करने से रोकता है। डियावोल द्वारा निष्पादित अंतिम चरण समझौता प्रणाली के डेस्कटॉप को बदलना है। यह एक काली पृष्ठभूमि और निम्न संदेश के साथ एक नई छवि बनाता है - आपकी सभी फाइलें एन्क्रिप्ट की गई हैं! अधिक जानकारी के लिए 'README-FOR-DECRYPT.txt' देखें। डिफ़ॉल्ट डेस्कटॉप वॉलपेपर को तब नई बनाई गई छवि के साथ प्रतिस्थापित किया जाता है।