Diavol Ransomware

Die Diavol Ransomware ist eine neu entdeckte Ransomware-Bedrohung, die zu keiner der bereits etablierten Ransomware-Familien gehört. Die Bedrohung wurde von den Infosec-Forschern von Fortinet entdeckt und zusammen mit einer neueren Version der Conti Ransomware eingesetzt. Diavol hat ein breites Spektrum an bedrohlichen Fähigkeiten und weist einige eigentümliche Entscheidungen auf, die von seinen Schöpfern getroffen wurden.

Eigenschaften von Diavol Ransomware

Ist nicht mit Anti-Demontage-Maßnahmen ausgestattet und wird nicht verpackt. Es verwendet jedoch eine ungewöhnliche Technik, um seinen Code zu verschleiern. Die Bedrohung behält ihre Hauptroutinen in Bitmap-Bildern, die im PE-Ressourcenabschnitt gespeichert sind. Wo jede Routine benötigt wird, kopiert die Malware ihre Bytes aus dem Image und legt sie in einen globalen Puffer, der über Ausführungsberechtigungen verfügt.

Nach der Bereitstellung auf dem Zielsystem initiiert Diavol seine Programmierung, die mehrere Subroutinen durchläuft, von denen jede mit der Ausführung einer anderen Aktivität beauftragt ist. Die erste Aktion der Ransomware besteht darin, eine eindeutige Kennung für den kompromittierten Computer zu generieren. Diavol meldet sich auch und stellt über eine POST-Anfrage eine Verbindung zu einem Command-and-Control-Server her.

Danach versucht die Ransomware, ihre Reichweite sowie den Schaden, den sie durch die Beendigung bestimmter Dienste und Prozesse anrichten kann, zu maximieren. Die Bedrohung geht nach Programmen, die sie möglicherweise daran hindern könnten, wertvolle Benutzerdateien wie Office-Anwendungen, Webserver, virtuelle Maschinen, Finanz- und Buchhaltungssoftware, Datenbanken usw. zu verschlüsseln. Bei der Implementierung dieser Funktionen haben die Cyberkriminellen jedoch mehrere auffällige Fehler gemacht wie das Mischen der Funktion zum Beenden von Prozessen und der Funktion zum Stoppen von Diensten. Darüber hinaus enthält die hartcodierte Liste der Zielprozesse auch andere Elemente, wie z. B. 'winword.exe'. Die Prozessliste ist in ähnlicher Unordnung, nur die letzten drei Einträge scheinen die Namen legitimer Prozesse zu sein, obwohl einer von ihnen falsch geschrieben ist.

Der Verschlüsselungsprozess

Die überwiegende Mehrheit der Ransomware-Bedrohungen verwendet symmetrische Verschlüsselungsalgorithmen, wenn es darum geht, die Dateien des Opfers zu sperren. Der Grund ist ganz einfach: Die symmetrische Verschlüsselung ist viel schneller und lässt dem Ziel weniger Zeit, um zu reagieren, wenn die Ransomware-Bedrohung erkannt wird. In einem zweiphasigen Prozess nehmen die Hacker den Entschlüsselungsschlüssel für den symmetrischen Algorithmus und führen ihn nur durch einen asymmetrischen Algorithmus, der einen öffentlichen und einen privaten Schlüssel erstellt. Die Diavol Ransomware verwendet jedoch den asymmetrischen RSA-Algorithmus für ihre gesamte Verschlüsselungsroutine. Es ist zu beachten, dass Diavol Textdateien mit seinem Lösegeldschein in allen Ordnern generiert, unabhängig davon, ob sie verschlüsselte Dateien enthalten oder nicht. Die Textdateien heißen 'README-FOR-DECRYPT.txt'.

Die Bedrohung verhindert, dass Benutzer ihre gesperrten Dateien möglicherweise über die Standardfunktionen von Windows wiederherstellen, indem sie die Schattenvolumenkopien löschen. Der letzte von Diavol durchgeführte Schritt besteht darin, den Desktop des kompromittierten Systems zu ändern. Es erstellt ein neues Bild mit schwarzem Hintergrund und der folgenden Meldung - Alle Ihre Dateien sind verschlüsselt! Weitere Informationen finden Sie unter 'README-FOR-DECRYPT.txt'. Das Standard-Desktop-Hintergrundbild wird dann durch das neu erstellte Bild ersetzt.