Diavol 勒索軟件

Diavol Ransomware 是一種新檢測到的勒索軟件威脅，它不屬於任何已建立的勒索軟件系列。該威脅是由 Fortinet 的信息安全研究人員發現的，並與更新版本的Conti Ransomware一起部署。 Diavol 具有廣泛的威脅能力，它展示了它的創造者做出的一些特殊選擇。

Diavol 勒索軟件的特點

未配備任何防拆卸措施且未包裝。然而，它確實採用了一種不常見的技術來混淆其代碼。該威脅將其主要例程保存在存儲在 PE 資源部分中的位圖圖像中。無論何時需要每個例程，惡意軟件都會從圖像中復制其字節並將它們放入具有執行權限的全局緩衝區中。

一旦部署在目標系統上，Diavol 就會啟動它的編程，該程序通過多個子程序，每個子程序負責執行不同的活動。勒索軟件的第一個動作是為受感染機器生成唯一標識符。 Diavol 還通過 POST 請求與命令和控制服務器建立連接。

之後，勒索軟件將嘗試最大限度地擴大其影響範圍，以及通過終止某些服務和進程可能造成的損害。該威脅追踪可能阻止其加密重要用戶文件的程序，例如辦公應用程序、Web 服務器、虛擬機、財務和會計軟件、數據庫等。 然而，在這些功能的實施過程中，網絡犯罪分子犯下了幾個明顯的錯誤比如混合終止進程的功能和停止服務的功能。此外，目標進程的硬編碼列表還包括其他項目，例如"winword.exe"。進程列表也同樣混亂，只有最後三個條目似乎是合法進程的名稱，儘管其中一個拼寫錯誤。

加密過程

在鎖定受害者的文件時，絕大多數勒索軟件威脅都採用對稱加密算法。原因很簡單 - 對稱加密要快得多，如果檢測到勒索軟件威脅，則目標的響應時間更少。在一個兩階段的過程中，黑客獲取對稱算法的解密密鑰，並僅通過非對稱算法運行它，該算法將創建公鑰和私鑰。然而，Diavol Ransomware 對其整個加密程序使用 RSA 非對稱算法。需要注意的是，Diavol 會在所有文件夾中生成帶有贖金記錄的文本文件，無論它們是否包含加密文件。文本文件被命名為"README-FOR-DECRYPT.txt"。

該威脅通過刪除卷影副本來阻止用戶通過默認的 Windows 功能恢復其鎖定的文件。 Diavol 執行的最後一步是更改受感染系統的桌面。它會創建一個黑色背景的新圖像和以下消息 - 您的所有文件都已加密！有關更多信息，請參閱"README-FOR-DECRYPT.txt"。然後，默認桌面牆紙將替換為新創建的圖像。