Diavolランサムウェア

Diavol Ransomwareは、新たに検出されたランサムウェアの脅威であり、すでに確立されているランサムウェアファミリの一部ではありません。この脅威はフォーティネットの情報セキュリティ研究者によって発見され、新しいバージョンのコンティランサムウェアと一緒に展開されました。 Diavolにはさまざまな脅威機能があり、作成者によって行われたいくつかの独特の選択を示します。

Diavolランサムウェアの特徴

分解防止対策が施されておらず、梱包されていません。ただし、コードを難読化するために珍しい手法を採用しています。脅威は、PEリソースセクションに保存されているビットマップイメージ内にメインルーチンを保持します。各ルーチンが必要な場合は常に、マルウェアはそのバイトをイメージからコピーし、実行権限を持つグローバルバッファーに配置します。

ターゲットシステムにデプロイされると、Diavolはプログラミングを開始し、複数のサブルーチンを通過します。各サブルーチンは、異なるアクティビティを実行するタスクを実行します。ランサムウェアの最初のアクションは、侵入先のマシンの一意の識別子を生成することです。 Diavolはまた、POSTリクエストを介してコマンドアンドコントロールサーバーに連絡し、接続を確立します。

その後、ランサムウェアは、特定のサービスやプロセスを終了することによって引き起こされる可能性のある損害だけでなく、その到達範囲を最大化しようとします。脅威は、オフィスアプリケーション、Webサーバー、仮想マシン、財務および会計ソフトウェア、データベースなどの貴重なユーザーファイルの暗号化を妨げる可能性のあるプログラムの後に発生します。ただし、これらの機能の実装中に、サイバー犯罪者はいくつかの顕著な間違いを犯しました。プロセスを終了する機能とサービスを停止する機能を組み合わせるようなものです。さらに、対象となるプロセスのハードコードされたリストには、「winword.exe」などの他の項目も含まれています。プロセスリストも同様に混乱しており、最後の3つのエントリだけが正当なプロセスの名前であるように見えますが、そのうちの1つはスペルが間違っています。

暗号化プロセス

ランサムウェアの脅威の大部分は、被害者のファイルのロックに関して対称暗号化アルゴリズムを採用しています。理由は非常に単純です。対称暗号化ははるかに高速で、ランサムウェアの脅威が検出された場合に応答する時間が短くなります。 2段階のプロセスでは、ハッカーは対称アルゴリズムの復号化キーを取得し、公開キーと秘密キーを作成する非対称アルゴリズムを介してのみ実行します。ただし、Diavol Ransomwareは、暗号化ルーチン全体にRSA非対称アルゴリズムを使用します。 Diavolは、暗号化されたファイルが含まれているかどうかに関係なく、すべてのフォルダーに身代金メモを含むテキストファイルを生成することに注意してください。テキストファイルの名前は「README-FOR-DECRYPT.txt」です。

この脅威は、シャドウボリュームコピーを削除することにより、ユーザーがデフォルトのWindows機能を介してロックされたファイルを復元する可能性を防ぎます。 Diavolが実行する最後のステップは、侵入先のシステムのデスクトップを変更することです。背景が黒の新しい画像が作成され、次のメッセージが表示されます-すべてのファイルが暗号化されています！詳細については、「README-FOR-DECRYPT.txt」を参照してください。次に、デフォルトのデスクトップの壁紙が新しく作成された画像に置き換えられます。