Diavol Ransomware
De Diavol Ransomware is een nieuw gedetecteerde ransomware-bedreiging die geen deel uitmaakt van een van de reeds gevestigde ransomware-families. De dreiging werd ontdekt door de infosec-onderzoekers van Fortinet en werd ingezet naast een nieuwere versie van de Conti Ransomware . Diavol heeft een breed scala aan bedreigende mogelijkheden en vertoont een aantal eigenaardige keuzes die door de makers zijn gemaakt.
Kenmerken van Diavol Ransomware
Is niet voorzien van anti-demontage maatregelen en wordt niet verpakt. Het gebruikt echter een ongebruikelijke techniek om de code te verdoezelen. De dreiging houdt zijn belangrijkste routines in bitmapafbeeldingen die zijn opgeslagen in de PE-bronsectie. Overal waar elke routine nodig is, kopieert de malware zijn bytes van de afbeelding en plaatst ze in een globale buffer met uitvoeringsrechten.
Eenmaal geïmplementeerd op het beoogde systeem, initieert Diavol zijn programmering die door meerdere subroutines gaat, elk met de taak een andere activiteit uit te voeren. De eerste actie van de ransomware is het genereren van een unieke identificatie voor de gecompromitteerde machine. Diavol reikt ook uit en brengt via een POST-verzoek een verbinding tot stand met een Command-and-Control-server.
Daarna zal de ransomware proberen zijn bereik te maximaliseren, evenals de schade die het kan veroorzaken door bepaalde services en processen te beëindigen. De dreiging gaat achter programma's aan die mogelijk zouden kunnen voorkomen dat het waardevolle gebruikersbestanden versleutelt, zoals kantoortoepassingen, webservers, virtuele machines, financiële en boekhoudsoftware, databases, enz. Tijdens de implementatie van deze functies maakten de cybercriminelen echter verschillende merkbare fouten zoals het mengen van de functie voor het beëindigen van processen en die voor het stoppen van services. Bovendien bevat de hardgecodeerde lijst met gerichte processen ook andere items, zoals 'winword.exe.' De proceslijst is in een soortgelijke wanorde met alleen de laatste drie vermeldingen die de namen lijken te zijn van legitieme processen, hoewel een ervan verkeerd is gespeld.
Het versleutelingsproces
De overgrote meerderheid van ransomware-bedreigingen maakt gebruik van symmetrische encryptie-algoritmen als het gaat om het vergrendelen van de bestanden van het slachtoffer. De reden is vrij eenvoudig: symmetrische codering is een stuk sneller, waardoor het doelwit minder tijd heeft om te reageren als de ransomware-dreiging wordt gedetecteerd. In een proces in twee fasen nemen de hackers de decoderingssleutel voor het symmetrische algoritme en voeren deze alleen door een asymmetrisch algoritme dat een openbare en een privésleutel zal creëren. De Diavol Ransomware gebruikt echter het RSA-asymmetrische algoritme voor de gehele versleutelingsroutine. Opgemerkt moet worden dat Diavol tekstbestanden genereert met de losgeldbrief in alle mappen, ongeacht of ze versleutelde bestanden bevatten of niet. De tekstbestanden hebben de naam 'README-FOR-DECRYPT.txt.'
De dreiging voorkomt dat gebruikers hun vergrendelde bestanden mogelijk herstellen via de standaard Windows-functies door de Shadow Volume Copies te verwijderen. De laatste stap die Diavol uitvoert, is het wijzigen van de desktop van het gecompromitteerde systeem. Het creëert een nieuwe afbeelding met een zwarte achtergrond en het volgende bericht - Al uw bestanden zijn versleuteld! Zie 'LEESMIJ-VOOR-DECRYPT.txt' voor meer informatie. De standaard bureaubladachtergrond wordt dan vervangen door de nieuw gemaakte afbeelding.
