Diavol Ransomware
Diavol Ransomware, halihazırda kurulmuş olan fidye yazılımı ailelerinin hiçbirinin parçası olmayan yeni tespit edilen bir fidye yazılımı tehdididir. Tehdit Fortinet'te de INFOSEC araştırmacılar tarafından keşfedildi ve daha yeni bir sürümü ile birlikte konuşlandırıldı Conti Ransomware . Diavol'un çok çeşitli tehdit yetenekleri vardır ve yaratıcıları tarafından yapılan bazı tuhaf seçimler sergiler.
Diavol Ransomware'in Özellikleri
Herhangi bir demontaj önleyici önlemle donatılmamıştır ve paketlenmemiştir. Bununla birlikte, kodunu gizlemek için alışılmadık bir teknik kullanır. Tehdit, ana rutinlerini PE kaynak bölümünde depolanan bitmap görüntüleri içinde tutar. Her bir rutinin gerekli olduğu her yerde, kötü amaçlı yazılım, baytlarını görüntüden kopyalar ve bunları yürütme izinlerine sahip küresel bir arabelleğe koyar.
Hedeflenen sistemde konuşlandırıldıktan sonra Diavol, her biri farklı bir aktivite gerçekleştirmekle görevlendirilen birden fazla alt rutinden geçen programlamasını başlatır. Fidye yazılımının ilk eylemi, güvenliği ihlal edilen makine için benzersiz bir tanımlayıcı oluşturmaktır. Diavol ayrıca bir POST isteği aracılığıyla bir Komuta ve Kontrol sunucusuna ulaşır ve bağlantı kurar.
Daha sonra, fidye yazılımı erişimini ve belirli hizmetleri ve süreçleri sonlandırarak neden olabileceği hasarı en üst düzeye çıkarmaya çalışır. Tehdit, ofis uygulamaları, Web sunucuları, sanal makineler, finans ve muhasebe yazılımları, veritabanları vb. gibi değerli kullanıcı dosyalarını şifrelemesini potansiyel olarak engelleyebilecek programların peşine düşer. Ancak, bu işlevlerin uygulanması sırasında siber suçlular birkaç göze çarpan hata yaptı. işlemleri sonlandırma işlevini ve hizmetleri durdurma işlevini karıştırmak gibi. Ayrıca, sabit kodlanmış hedeflenen işlemler listesi, 'winword.exe' gibi diğer öğeleri de içerir. Süreç listesi, bir tanesi yanlış yazılmış olsa da, yasal süreçlerin adları gibi görünen yalnızca son üç girişle benzer bir kargaşa içindedir.
Şifreleme Süreci
Fidye yazılımı tehditlerinin büyük çoğunluğu, kurbanın dosyalarını kilitlemeye geldiğinde simetrik şifreleme algoritmaları kullanır. Nedeni oldukça basittir - simetrik şifreleme çok daha hızlıdır ve fidye yazılımı tehdidi algılanırsa hedefi yanıtlamak için daha kısa sürede bırakır. İki aşamalı bir süreçte, bilgisayar korsanları simetrik algoritma için şifre çözme anahtarını alır ve yalnızca bir genel ve bir özel anahtar oluşturacak asimetrik bir algoritma aracılığıyla çalıştırır. Ancak Diavol Ransomware, tüm şifreleme rutini için RSA asimetrik algoritmasını kullanır. Diavol'un şifreli dosya içerip içermediğine bakılmaksızın tüm klasörlerde fidye notunu taşıyan metin dosyaları oluşturduğuna dikkat edilmelidir. Metin dosyaları 'README-FOR-DECRYPT.txt' olarak adlandırılır.
Tehdit, kullanıcıların Gölge Birim Kopyalarını silerek varsayılan Windows özellikleri aracılığıyla kilitli dosyalarını geri yüklemelerini engeller. Diavol tarafından gerçekleştirilen son adım, güvenliği ihlal edilen sistemin masaüstünü değiştirmektir. Siyah bir arka plana ve aşağıdaki mesaja sahip yeni bir görüntü oluşturur - Tüm dosyalarınız şifrelenir! Daha fazla bilgi için bkz. 'DECRYPT.txt için README-FOR-DECRYPT.' Varsayılan masaüstü duvar kağıdı daha sonra yeni oluşturulan görüntü ile değiştirilir.
