Diavol ransomware

Il Diavol Ransomware è una minaccia ransomware appena rilevata che non fa parte di nessuna delle famiglie di ransomware già stabilite. La minaccia è stata scoperta dai ricercatori di infosec di Fortinet ed è stata distribuita insieme a una versione più recente di Conti Ransomware . Diavol ha una vasta gamma di capacità minacciose e mostra alcune scelte peculiari fatte dai suoi creatori.

Caratteristiche di Diavol Ransomware

Non è dotato di alcuna misura antismontaggio e non è imballato. Tuttavia, utilizza una tecnica non comune per offuscare il suo codice. La minaccia mantiene le sue routine principali all'interno delle immagini bitmap archiviate nella sezione delle risorse PE. Ovunque ogni routine sia necessaria, il malware copia i suoi byte dall'immagine e li inserisce in un buffer globale che possiede i permessi di esecuzione.

Una volta implementato sul sistema di destinazione, Diavol avvia la sua programmazione che passa attraverso più subroutine, ognuna con il compito di svolgere un'attività diversa. La prima azione del ransomware è generare un identificatore univoco per la macchina compromessa. Diavol raggiunge anche e stabilisce una connessione con un server Command-and-Control tramite una richiesta POST.

Successivamente, il ransomware tenterà di massimizzare la sua portata, nonché i danni che può causare interrompendo determinati servizi e processi. La minaccia va dietro a programmi che potrebbero potenzialmente impedirle di crittografare preziosi file utente come applicazioni per ufficio, server Web, macchine virtuali, software finanziari e contabili, database, ecc. Durante l'implementazione di queste funzioni, tuttavia, i criminali informatici hanno commesso diversi errori evidenti come mescolare la funzione per terminare i processi e quella per fermare i servizi. Inoltre, l'elenco codificato dei processi mirati include anche altri elementi, come "winword.exe". L'elenco dei processi è in un simile disordine con solo le ultime tre voci che sembrano essere i nomi di processi legittimi, sebbene uno di essi sia scritto in modo errato.

Il processo di crittografia

La stragrande maggioranza delle minacce ransomware utilizza algoritmi di crittografia simmetrica quando si tratta di bloccare i file della vittima. Il motivo è abbastanza semplice: la crittografia simmetrica è molto più veloce, lasciando al bersaglio meno tempo per rispondere se viene rilevata la minaccia ransomware. In un processo in due fasi, gli hacker prendono la chiave di decrittazione per l'algoritmo simmetrico e la eseguono solo attraverso un algoritmo asimmetrico che creerà una chiave pubblica e una privata. Il Diavol Ransomware, tuttavia, utilizza l'algoritmo asimmetrico RSA per la sua intera routine di crittografia. Va notato che Diavol genera file di testo che trasportano la sua richiesta di riscatto in tutte le cartelle indipendentemente dal fatto che contengano o meno file crittografati. I file di testo sono denominati 'README-FOR-DECRYPT.txt.'

La minaccia impedisce agli utenti di ripristinare potenzialmente i propri file bloccati tramite le funzionalità predefinite di Windows eliminando le copie shadow del volume. Il passaggio finale eseguito da Diavol è cambiare il desktop del sistema compromesso. Crea una nuova immagine con uno sfondo nero e il seguente messaggio - Tutti i tuoi file sono crittografati! Per ulteriori informazioni vedere 'README-FOR-DECRYPT.txt.' Lo sfondo del desktop predefinito viene quindi sostituito con l'immagine appena creata.