Diavol 랜섬웨어

Diavol 랜섬웨어는 이미 확립 된 랜섬웨어 제품군에 속하지 않는 새로 탐지 된 랜섬웨어 위협입니다. 이 위협은 Fortinet의 infosec 연구원에 의해 발견되었으며 최신 버전의 Conti Ransomware 와 함께 배포되었습니다. Diavol은 광범위한 위협 기능을 가지고 있으며 제작자가 만든 몇 가지 독특한 선택을 보여줍니다.

Diavol Ransomware의 특성

분해 방지 장치가 장착되어 있지 않으며 포장되어 있지 않습니다. 그러나 코드를 난독 화하기 위해 드문 기술을 사용합니다. 이 위협은 PE 리소스 섹션에 저장된 비트 맵 이미지 내에 주요 루틴을 유지합니다. 각 루틴이 필요할 때마다 맬웨어는 이미지에서 바이트를 복사하여 실행 권한이있는 전역 버퍼에 저장합니다.

대상 시스템에 배포되면 Diavol은 각각 다른 활동을 수행하는 여러 서브 루틴을 통과하는 프로그래밍을 시작합니다. 랜섬웨어의 첫 번째 작업은 손상된 시스템에 대한 고유 식별자를 생성하는 것입니다. Diavol은 또한 POST 요청을 통해 Command-and-Control 서버에 연락하여 연결을 설정합니다.

그 후 랜섬웨어는 특정 서비스와 프로세스를 종료함으로써 발생할 수있는 피해뿐만 아니라 도달 범위를 최대화하려고 시도합니다. 위협은 잠재적으로 사무실 애플리케이션, 웹 서버, 가상 머신, 재무 및 회계 소프트웨어, 데이터베이스 등과 같은 귀중한 사용자 파일을 암호화하지 못하게 할 수있는 프로그램을 쫓습니다. 그러나 이러한 기능을 구현하는 동안 사이버 범죄자들은 몇 가지 눈에 띄는 실수를 저질렀습니다. 프로세스 종료 기능과 서비스 중지 기능을 혼합하는 것과 같습니다. 또한 하드 코딩 된 대상 프로세스 목록에는 'winword.exe'와 같은 다른 항목도 포함됩니다. 프로세스 목록은 합법적 인 프로세스의 이름으로 보이는 마지막 세 항목 만 유사하게 혼란 스럽습니다.

암호화 프로세스

대부분의 랜섬웨어 위협은 피해자의 파일을 잠글 때 대칭 암호화 알고리즘을 사용합니다. 그 이유는 매우 간단합니다. 대칭 암호화는 랜섬웨어 위협이 탐지 될 경우 대응할 시간이 더 적어 지도록 훨씬 더 빠릅니다. 2 단계 프로세스에서 해커는 대칭 알고리즘의 암호 해독 키를 가져 와서 공개 및 개인 키를 생성하는 비대칭 알고리즘을 통해서만 실행합니다. 그러나 Diavol Ransomware는 전체 암호화 루틴에 RSA 비대칭 알고리즘을 사용합니다. Diavol은 암호화 된 파일이 포함되어 있는지 여부에 관계없이 모든 폴더에 몸값을 담은 텍스트 파일을 생성합니다. 텍스트 파일의 이름은 'README-FOR-DECRYPT.txt'입니다.

이 위협은 사용자가 섀도우 볼륨 복사본을 삭제하여 기본 Windows 기능을 통해 잠긴 파일을 잠재적으로 복원하는 것을 방지합니다. Diavol이 수행하는 마지막 단계는 손상된 시스템의 데스크톱을 변경하는 것입니다. 검은 색 배경과 다음 메시지로 새 이미지를 생성합니다. 모든 파일이 암호화됩니다! 자세한 내용은 'README-FOR-DECRYPT.txt'를 참조하십시오. 그러면 기본 바탕 화면 배경 무늬가 새로 생성 된 이미지로 대체됩니다.