Diavol Ransomware

Le Diavol Ransomware est une menace de ransomware nouvellement détectée qui ne fait partie d'aucune des familles de ransomware déjà établies. La menace a été découverte par les chercheurs d'infosec de Fortinet et a été déployée avec une version plus récente du Conti Ransomware . Diavol possède un large éventail de capacités menaçantes et présente des choix particuliers faits par ses créateurs.

Caractéristiques de Diavol Ransomware

N'est pas équipé de mesures anti-démontage et n'est pas emballé. Cependant, il utilise une technique peu commune pour obscurcir son code. La menace conserve ses principales routines dans des images bitmap stockées dans la section des ressources PE. Partout où chaque routine est nécessaire, le malware copie ses octets à partir de l'image et les place dans un tampon global qui possède des autorisations d'exécution.

Une fois déployé sur le système ciblé, Diavol initie sa programmation qui passe par plusieurs sous-programmes, chacun chargé d'effectuer une activité différente. La première action du ransomware est de générer un identifiant unique pour la machine compromise. Diavol contacte également et établit une connexion avec un serveur de commande et de contrôle via une requête POST.

Par la suite, le ransomware tentera de maximiser sa portée, ainsi que les dommages qu'il peut causer en mettant fin à certains services et processus. La menace s'attaque aux programmes qui pourraient potentiellement l'empêcher de crypter des fichiers utilisateur précieux tels que des applications bureautiques, des serveurs Web, des machines virtuelles, des logiciels financiers et comptables, des bases de données, etc. Cependant, lors de la mise en œuvre de ces fonctions, les cybercriminels ont commis plusieurs erreurs notables. comme mélanger la fonction de terminaison des processus et celle d'arrêt des services. De plus, la liste codée en dur des processus ciblés comprend également d'autres éléments, tels que « winword.exe ». La liste des processus est dans un désordre similaire, seules les trois dernières entrées semblant être les noms de processus légitimes, bien que l'une d'entre elles soit mal orthographiée.

Le processus de cryptage

La grande majorité des menaces de ransomware utilisent des algorithmes de chiffrement symétriques lorsqu'il s'agit de verrouiller les fichiers de la victime. La raison est assez simple : le chiffrement symétrique est beaucoup plus rapide, laissant à la cible moins de temps pour répondre si la menace du ransomware est détectée. Dans un processus en deux phases, les pirates informatiques prennent la clé de déchiffrement de l'algorithme symétrique et l'exécutent uniquement via un algorithme asymétrique qui créera une clé publique et une clé privée. Le Diavol Ransomware, cependant, utilise l'algorithme asymétrique RSA pour toute sa routine de cryptage. Il convient de noter que Diavol génère des fichiers texte portant sa demande de rançon dans tous les dossiers, qu'ils contiennent ou non des fichiers cryptés. Les fichiers texte sont nommés 'README-FOR-DECRYPT.txt.'

La menace empêche les utilisateurs de restaurer potentiellement leurs fichiers verrouillés via les fonctionnalités Windows par défaut en supprimant les clichés instantanés de volume. La dernière étape effectuée par Diavol consiste à changer le bureau du système compromis. Il crée une nouvelle image avec un fond noir et le message suivant - Tous vos fichiers sont cryptés ! Pour plus d'informations, consultez 'README-FOR-DECRYPT.txt.' Le papier peint du bureau par défaut est alors remplacé par l'image nouvellement créée.