Diavol Ransomware

Diavol Ransomware to nowo wykryte zagrożenie ransomware, które nie jest częścią żadnej z już istniejących rodzin ransomware. Zagrożenie zostało wykryte przez badaczy infosec w firmie Fortinet i zostało wdrożone wraz z nowszą wersją Conti Ransomware . Diavol ma szeroki zakres groźnych możliwości i wykazuje pewne szczególne wybory dokonane przez jego twórców.

Charakterystyka Diavol Ransomware

Nie jest wyposażony w zabezpieczenia przed demontażem i nie jest zapakowany. Wykorzystuje jednak niezwykłą technikę zaciemniania kodu. Zagrożenie utrzymuje swoje główne procedury w obrazach bitmapowych przechowywanych w sekcji zasobów PE. Wszędzie tam, gdzie potrzebna jest każda procedura, złośliwe oprogramowanie kopiuje swoje bajty z obrazu i umieszcza je w globalnym buforze, który posiada uprawnienia do wykonywania.

Po wdrożeniu w docelowym systemie Diavol inicjuje programowanie, które przechodzi przez wiele podprogramów, z których każdy ma na celu wykonanie innej czynności. Pierwszym działaniem ransomware jest wygenerowanie unikalnego identyfikatora dla zaatakowanej maszyny. Diavol również kontaktuje się i nawiązuje połączenie z serwerem Command-and-Control za pośrednictwem żądania POST.

Następnie oprogramowanie ransomware będzie próbowało zmaksymalizować swój zasięg, a także szkody, jakie może spowodować, zamykając niektóre usługi i procesy. Zagrożenie atakuje programy, które mogą potencjalnie uniemożliwić mu szyfrowanie cennych plików użytkownika, takich jak aplikacje biurowe, serwery WWW, maszyny wirtualne, oprogramowanie finansowo-księgowe, bazy danych itp. Podczas wdrażania tych funkcji cyberprzestępcy popełnili jednak kilka zauważalnych błędów jak mieszanie funkcji kończenia procesów i zatrzymywania usług. Ponadto zakodowana na sztywno lista docelowych procesów zawiera również inne elementy, takie jak „winword.exe". Lista procesów jest w podobnym nieładzie, a tylko trzy ostatnie wpisy wydają się być nazwami legalnych procesów, chociaż jeden z nich jest błędnie napisany.

Proces szyfrowania

Zdecydowana większość zagrożeń ransomware wykorzystuje algorytmy szyfrowania symetrycznego, jeśli chodzi o blokowanie plików ofiary. Powód jest dość prosty - szyfrowanie symetryczne jest znacznie szybsze, pozostawiając celowi mniej czasu na reakcję w przypadku wykrycia zagrożenia ransomware. W procesie dwufazowym hakerzy biorą klucz deszyfrujący do algorytmu symetrycznego i uruchamiają go tylko przez algorytm asymetryczny, który utworzy klucz publiczny i prywatny. Diavol Ransomware używa jednak algorytmu asymetrycznego RSA dla całej procedury szyfrowania. Należy zauważyć, że Diavol generuje pliki tekstowe z żądaniem okupu we wszystkich folderach, niezależnie od tego, czy zawierają zaszyfrowane pliki, czy nie. Pliki tekstowe noszą nazwę „README-FOR-DECRYPT.txt".

Zagrożenie uniemożliwia użytkownikom potencjalne przywrócenie zablokowanych plików za pomocą domyślnych funkcji systemu Windows, usuwając ukryte kopie woluminów. Ostatnim krokiem wykonywanym przez Diavol jest zmiana pulpitu skompromitowanego systemu. Tworzy nowy obraz z czarnym tłem i następującą wiadomością - Wszystkie twoje pliki są zaszyfrowane! Aby uzyskać więcej informacji, zobacz 'README-FOR-DECRYPT.txt.' Domyślna tapeta pulpitu jest następnie zastępowana nowo utworzonym obrazem.