Diavol ransomware

Diavol Ransomware es una amenaza de ransomware recién detectada que no forma parte de ninguna de las familias de ransomware ya establecidas. La amenaza fue descubierta por los investigadores de seguridad de información de Fortinet y se implementó junto con una versión más reciente de Conti Ransomware . Diavol tiene una amplia gama de capacidades amenazantes y exhibe algunas elecciones peculiares hechas por sus creadores.

Características de Diavol Ransomware

No está equipado con ninguna medida anti-desmontaje y no está embalado. Sin embargo, emplea una técnica poco común para ofuscar su código. La amenaza mantiene sus rutinas principales dentro de imágenes de mapa de bits almacenadas en la sección de recursos PE. Dondequiera que se necesite cada rutina, el malware copia sus bytes de la imagen y los coloca en un búfer global que posee permisos de ejecución.

Una vez implementado en el sistema de destino, Diavol inicia su programación que pasa por múltiples subrutinas, cada una con la tarea de realizar una actividad diferente. La primera acción del ransomware es generar un identificador único para la máquina comprometida. Diavol también se acerca y establece una conexión con un servidor de Comando y Control a través de una solicitud POST.

Posteriormente, el ransomware intentará maximizar su alcance, así como el daño que puede causar al finalizar ciertos servicios y procesos. La amenaza persigue programas que potencialmente podrían evitar que cifre archivos de usuario valiosos, como aplicaciones de oficina, servidores web, máquinas virtuales, software financiero y contable, bases de datos, etc. Durante la implementación de estas funciones, sin embargo, los ciberdelincuentes cometieron varios errores notables. como mezclar la función para terminar procesos y la función para detener servicios. Además, la lista codificada de procesos específicos también incluye otros elementos, como 'winword.exe'. La lista de procesos está en un desorden similar y solo las últimas tres entradas parecen ser los nombres de procesos legítimos, aunque una de ellas está mal escrita.

El proceso de cifrado

La gran mayoría de las amenazas de ransomware emplean algoritmos de cifrado simétrico cuando se trata de bloquear los archivos de la víctima. La razón es bastante simple: el cifrado simétrico es mucho más rápido y deja al objetivo con menos tiempo para responder si se detecta la amenaza de ransomware. En un proceso de dos fases, los piratas informáticos toman la clave de descifrado del algoritmo simétrico y solo la ejecutan a través de un algoritmo asimétrico que creará una clave pública y una privada. Sin embargo, Diavol Ransomware utiliza el algoritmo asimétrico RSA para toda su rutina de cifrado. Cabe señalar que Diavol genera archivos de texto que llevan su nota de rescate en todas las carpetas, independientemente de si contienen archivos cifrados o no. Los archivos de texto se denominan 'README-FOR-DECRYPT.txt'.

La amenaza evita que los usuarios restauren potencialmente sus archivos bloqueados a través de las funciones predeterminadas de Windows al eliminar las instantáneas de volumen. El último paso realizado por Diavol es cambiar el escritorio del sistema comprometido. Crea una nueva imagen con un fondo negro y el siguiente mensaje: ¡Todos sus archivos están encriptados! Para obtener más información, consulte 'README-FOR-DECRYPT.txt'. El fondo de escritorio predeterminado se sustituye por la imagen recién creada.