Diavol Ransomware

O Diavol Ransomware é uma ameaça de ransomware detectada recentemente, que não faz parte de nenhuma das famílias de ransomware já estabelecidas. A ameaça foi descoberta pelos pesquisadores de Infosec e foi implantada junto com uma versão mais recente do Conti Ransomware. Diavol tem uma ampla gama de recursos ameaçadores e exibe algumas escolhas peculiares feitas por seus criadores.

Características do Diavol Ransomware

Não está equipado com quaisquer medidas anti-desmontagem e não vem embalado. No entanto, ele emprega uma técnica incomum para ofuscar o seu código. A ameaça mantém suas rotinas principais dentro de imagens de BitMap armazenadas na seção de recursos PE. Sempre que cada rotina é necessária, o malware copia os seus bytes da imagem e os coloca em um buffer global que possui permissões de execução.

Uma vez implantado no sistema visado, o Diavol inicia sua programação que passa por várias sub-rotinas, cada uma com a tarefa de realizar uma atividade diferente. A primeira ação do ransomware é gerar um identificador exclusivo para a máquina comprometida. O Diavol também alcança e estabelece uma conexão com um servidor de Comando e Controle por meio de uma solicitação POST.

Posteriormente, o ransomware tentará maximizar o seu alcance, bem como os danos que pode causar ao encerrar certos serviços e processos. A ameaça vai atrás de programas que podem impedir que criptografem arquivos valiosos do usuário, como aplicativos do Office, servidores da Web, máquinas virtuais, software financeiro e contábil, bancos de dados, etc. Durante a implementação dessas funções, no entanto, os cibercriminosos cometeram vários erros perceptíveis, tais como misturar a função para encerrar processos e outra para interromper os serviços. Além disso, a lista codificada de processos direcionados também inclui outros itens, tais como o 'winword.exe.' A lista de processos está em desordem semelhante, com apenas as três últimas entradas parecendo ser nomes de processos legítimos, embora uma delas esteja escrita incorretamente.

O Processo de Criptografia

A grande maioria das ameaças de ransomware emprega algoritmos de criptografia simétricos, quando se trata de bloquear os arquivos da vítima. A razão é bastante simples - a criptografia simétrica é muito mais rápida, deixando o alvo com menos tempo para responder se a ameaça do ransomware for detectada. Em um processo de duas fases, os hackers pegam a chave de descriptografia do algoritmo simétrico e a executam apenas por meio de um algoritmo assimétrico que criará uma chave pública e uma privada. O Diavol Ransomware, no entanto, usa o algoritmo assimétrico RSA para toda a sua rotina de criptografia. Deve-se notar que o Diavol gera arquivos de texto com sua nota de resgate em todas as pastas, independentemente de conterem arquivos criptografados ou não. Os arquivos de texto são nomeados 'README-FOR-DECRYPT.txt.'

A ameaça evita que os usuários potencialmente restaurem os seus arquivos bloqueados por meio dos recursos padrão do Windows, excluindo as cópias do Shadow Volume. A etapa final realizada pelo Diavol é mudar a área de trabalho do sistema comprometido. Ele cria uma nova imagem com um fundo preto e a seguinte mensagem - 'Todos os seus arquivos estão criptografados!'Para obter mais informações, consulte 'README-FOR-DECRYPT.txt.' O papel de parede padrão da área de trabalho é então substituído pela imagem recém-criada.