Diavol 勒索软件

Diavol Ransomware 是一种新检测到的勒索软件威胁，它不属于任何已建立的勒索软件系列。该威胁是由 Fortinet 的信息安全研究人员发现的，并与更新版本的Conti Ransomware一起部署。 Diavol 具有广泛的威胁能力，它展示了它的创造者做出的一些特殊选择。

Diavol 勒索软件的特点

未配备任何防拆卸措施且未包装。然而，它确实采用了一种不常见的技术来混淆其代码。该威胁将其主要例程保存在存储在 PE 资源部分中的位图图像中。无论何时需要每个例程，恶意软件都会从图像中复制其字节并将它们放入具有执行权限的全局缓冲区中。

一旦部署在目标系统上，Diavol 就会启动它的编程，该程序通过多个子程序，每个子程序负责执行不同的活动。勒索软件的第一个动作是为受感染机器生成唯一标识符。 Diavol 还通过 POST 请求与命令和控制服务器建立连接。

之后，勒索软件将尝试最大限度地扩大其影响范围，以及通过终止某些服务和进程可能造成的损害。该威胁追踪可能阻止其加密重要用户文件的程序，例如办公应用程序、Web 服务器、虚拟机、财务和会计软件、数据库等。 然而，在这些功能的实施过程中，网络犯罪分子犯下了几个明显的错误比如混合终止进程的功能和停止服务的功能。此外，目标进程的硬编码列表还包括其他项目，例如"winword.exe"。进程列表也同样混乱，只有最后三个条目似乎是合法进程的名称，尽管其中一个拼写错误。

加密过程

在锁定受害者的文件时，绝大多数勒索软件威胁都采用对称加密算法。原因很简单 - 对称加密要快得多，如果检测到勒索软件威胁，则目标的响应时间更少。在一个两阶段的过程中，黑客获取对称算法的解密密钥，并仅通过非对称算法运行它，该算法将创建公钥和私钥。然而，Diavol Ransomware 对其整个加密程序使用 RSA 非对称算法。需要注意的是，Diavol 会在所有文件夹中生成带有赎金记录的文本文件，无论它们是否包含加密文件。文本文件被命名为"README-FOR-DECRYPT.txt"。

该威胁通过删除卷影副本来阻止用户通过默认的 Windows 功能恢复其锁定的文件。 Diavol 执行的最后一步是更改受感染系统的桌面。它会创建一个黑色背景的新图像和以下消息 - 您的所有文件都已加密！有关更多信息，请参阅"README-FOR-DECRYPT.txt"。然后，默认桌面墙纸将替换为新创建的图像。