Diavol Ransomware

Diavol Ransomware är ett nyligen upptäckt hot mot ransomware som inte ingår i någon av de redan etablerade ransomware-familjerna. Hotet upptäcktes av infosec-forskarna på Fortinet och distribuerades tillsammans med en nyare version av Conti Ransomware . Diavol har ett brett spektrum av hotfunktioner och det uppvisar några märkliga val som gjorts av dess skapare.

Diavol Ransomware egenskaper

Är inte utrustad med några demonteringsåtgärder och är inte förpackad. Det använder dock en ovanlig teknik för att fördunkla sin kod. Hotet behåller sina huvudrutiner i bitmappsbilder som lagras i PE-resursavsnittet. Varhelst varje rutin behövs kopierar skadlig programvara sina byte från bilden och placerar dem i en global buffert som har exekveringsbehörigheter.

När Diavol väl har distribuerats på det riktade systemet, initierar det sin programmering som går igenom flera underrutiner, var och en har till uppgift att utföra olika aktiviteter. Den första åtgärden med ransomware är att skapa en unik identifierare för den komprometterade maskinen. Diavol når också ut och upprättar en anslutning med en Command-and-Control-server via en POST-begäran.

Därefter kommer ransomware att försöka maximera sin räckvidd, liksom den skada den kan orsaka genom att vissa tjänster och processer avslutas. Hotet går efter program som potentiellt kan förhindra att det krypterar värdefulla användarfiler som kontorsapplikationer, webbservrar, virtuella maskiner, ekonomi- och redovisningsprogram, databaser etc. Under implementeringen av dessa funktioner gjorde cyberkriminella dock flera märkbara misstag som att blanda funktionen för att avsluta processer och den för att stoppa tjänster. Dessutom innehåller den hårdkodade listan över riktade processer också andra objekt, till exempel 'winword.exe.' Processlistan är i liknande oordning med endast de tre sista posterna som verkar vara namnen på legitima processer, om än en av dem stavas fel.

Krypteringsprocessen

De allra flesta hot mot ransomware använder symmetriska krypteringsalgoritmer när det gäller att låsa offrets filer. Anledningen är ganska enkel - symmetrisk kryptering går mycket snabbare och ger målet mindre tid att svara om hotet mot ransomware upptäcks. I en tvåfasprocess tar hackarna dekrypteringsnyckeln för den symmetriska algoritmen och kör bara den genom en asymmetrisk algoritm som skapar en offentlig och en privat nyckel. Diavol Ransomware använder dock RSA asymmetrisk algoritm för hela sin krypteringsrutin. Det bör noteras att Diavol genererar textfiler som bär sin lösenbrev i alla mappar oavsett om de innehåller krypterade filer eller inte. Textfilerna heter 'README-FOR-DECRYPT.txt.'

Hotet hindrar användare från att potentiellt återställa sina låsta filer via standardfunktionerna i Windows genom att radera Shadow Volume Copies. Det sista steget som utförs av Diavol är att ändra skrivbordet för det komprometterade systemet. Det skapar en ny bild med svart bakgrund och följande meddelande - Alla dina filer är krypterade! För mer information se 'README-FOR-DECRYPT.txt.' Standard skrivbordsunderlägg ersätts sedan med den nyligen skapade bilden.