Программа-вымогатель Diavol

Программа-вымогатель Diavol - это недавно обнаруженная угроза вымогателей, которая не входит ни в одно из уже установленных семейств программ-вымогателей. Угроза была обнаружена исследователями информационной безопасности в Fortinet и развернута вместе с новой версией Conti Ransomware . Дьявол обладает широким спектром угрожающих способностей, и он демонстрирует некоторые необычные решения, сделанные его создателями.

Характеристики программы-вымогателя Diavol

Не оборудован средствами защиты от демонтажа и не упакован. Однако он использует необычную технику для обфускации своего кода. Угроза хранит свои основные процедуры внутри растровых изображений, хранящихся в разделе ресурсов PE. Везде, где требуется каждая подпрограмма, вредоносная программа копирует свои байты из образа и помещает их в глобальный буфер, обладающий разрешениями на выполнение.

После развертывания в целевой системе Diavol инициирует свое программирование, которое проходит через несколько подпрограмм, каждая из которых выполняет свою задачу. Первое действие программы-вымогателя - создание уникального идентификатора взломанной машины. Diavol также устанавливает соединение с сервером Command-and-Control через запрос POST.

После этого программа-вымогатель попытается максимально увеличить свой охват, а также нанести ущерб, который он может причинить, завершив определенные службы и процессы. Угроза распространяется на программы, которые потенциально могут помешать ей зашифровать ценные пользовательские файлы, такие как офисные приложения, веб-серверы, виртуальные машины, финансовое и бухгалтерское программное обеспечение, базы данных и т. Д. Однако при реализации этих функций киберпреступники допустили несколько заметных ошибок. например, смешивание функции завершения процессов и функции остановки служб. Кроме того, в жестко запрограммированный список целевых процессов входят и другие элементы, такие как «winword.exe». Список процессов находится в таком же беспорядке, только последние три записи выглядят как имена законных процессов, хотя одна из них написана неправильно.

Процесс шифрования

Подавляющее большинство программ-вымогателей используют симметричные алгоритмы шифрования, когда дело доходит до блокировки файлов жертвы. Причина довольно проста - симметричное шифрование выполняется намного быстрее, оставляя цель меньше времени на ответ в случае обнаружения угрозы вымогателя. В двухэтапном процессе хакеры берут ключ дешифрования для симметричного алгоритма и запускают только его через асимметричный алгоритм, который создает открытый и закрытый ключи. Однако программа-вымогатель Diavol использует асимметричный алгоритм RSA для всей процедуры шифрования. Следует отметить, что Diavol генерирует текстовые файлы с запиской о выкупе во всех папках, независимо от того, содержат они зашифрованные файлы или нет. Текстовые файлы называются README-FOR-DECRYPT.txt.

Угроза не позволяет пользователям потенциально восстанавливать свои заблокированные файлы с помощью функций Windows по умолчанию, удаляя теневые копии томов. Последний шаг, выполняемый Дьяволом, - это изменение рабочего стола скомпрометированной системы. Он создает новое изображение с черным фоном и следующим сообщением - Все ваши файлы зашифрованы! Для получения дополнительной информации см. «README-FOR-DECRYPT.txt». Затем обои рабочего стола по умолчанию заменяются вновь созданным изображением.