В начале июня компания FortiEDR предотвратила атаку ransomware, направленную на одного из клиентов. После успешного предотвращения атаки смогли выделить два подозрительных файла, которые на тот момент не были найдены на VirusTotal: locker.exe и locker64.dll. В хронологии атаки locker.exe был развернут за день до locker64.dll.
Diavol Ransomware
Эта программа сбрасывает записку о выкупе в текстовом формате в каждую папку, которую она просматривает.
Согласно записке, авторы утверждают, что они украли данные с машины жертвы, хотя мы не нашли образца, способного это сделать. Это либо блеф, либо заготовка для будущих возможностей.
В рамках довольно уникальной процедуры шифрования Diavol использует асинхронные вызовы процедур (APC) в пользовательском режиме без симметричного алгоритма шифрования. Обычно авторы вымогательских программ стремятся завершить операцию шифрования за минимальное время. Асимметричные алгоритмы шифрования не являются очевидным выбором, поскольку они значительно медленнее симметричных алгоритмов.
Indicators of Compromise
IPv4
- 173.232.146.118
Domains
- r2gttyb5vqu6swf5.onion
URLs
- http://<server_address>//BnpOnspQwtjCA/register
- http://173.232.146.118/Bnyar8RsK04ug/
SHA256
- 85ec7f5ec91adf7c104c7e116511ac5e7945bcf4a8fdecdcc581e97d8525c5ac
- 426ba2acf51641fb23c2efe686ad31d6398c3dd25c2c62f6ba0621455a3f7178
- 4bfd58d4e4a6fe5e91b408bc190a24d352124902085f9c2da948ad7d79b72618