Сообщается, что недавно появившаяся вредоносная программа под названием "Diavol Ransomware", скомпилированная с помощью компилятора Microsoft Visual C/C++, шифрует файлы с помощью асинхронных вызовов процедур (APC) в пользовательском режиме с использованием асимметричного алгоритма шифрования.
Diavol Ransomware
Недавно стало известно, что вредоносная программа Diavol распространяется через электронную почту, в которой содержится ссылка на OneDrive. Ссылка на OneDrive направляет пользователя на загрузку zip-файла, который включает ISO-файл, содержащий LNK-файл и DLL. После открытия (монтирования) на системе пользователя LNK-файл, замаскированный под документ, заманивает пользователя нажать/открыть его. После того как пользователь откроет LNK-файл, начнется заражение вредоносным ПО.
После запуска вредоносная программа Diavol выполняет предварительную обработку системы жертвы, включая регистрацию устройства жертвы на удаленном сервере, завершение запущенных процессов, поиск локальных дисков и файлов в системе для шифрования и предотвращение восстановления путем удаления теневых копий. Затем происходит блокировка файлов и смена обоев рабочего стола с сообщением о выкупе.
Diavol также лишен какой-либо обфускации, поскольку не использует трюки упаковки или защиты от дизассемблирования, но ему все же удается усложнить анализ, храня свои основные процедуры в растровых изображениях.
При выполнении на зараженной машине программа-вымогатель извлекает код из секции ресурсов PE изображений и загружает его в буфер с правами на выполнение. Программа генерирует идентификатор System/Bot ID в следующем формате:
Например:
DESKTOP-4LUGU5I-reuser_W10019041.C3F3799FE69249579857D2039BBBAB11
Этот формат практически идентичен Bot ID, сгенерированному вредоносной программой TrickBot, за исключением того, что добавлено поле имени пользователя.
Indicator of Compromise
SHA256
- 85ec7f5ec91adf7c104c7e116511ac5e7945bcf4a8fdecdcc581e97d8525c5ac