Diavol Ransomware IOCs - Part 2

ransomware IOC

В начале июня компания FortiEDR предотвратила атаку ransomware, направленную на одного из клиентов. После успешного предотвращения атаки смогли выделить два подозрительных файла, которые на тот момент не были найдены на VirusTotal: locker.exe и locker64.dll. В хронологии атаки locker.exe был развернут за день до locker64.dll.

Diavol Ransomware

Эта программа сбрасывает записку о выкупе в текстовом формате в каждую папку, которую она просматривает.

Согласно записке, авторы утверждают, что они украли данные с машины жертвы, хотя мы не нашли образца, способного это сделать. Это либо блеф, либо заготовка для будущих возможностей.

В рамках довольно уникальной процедуры шифрования Diavol использует асинхронные вызовы процедур (APC) в пользовательском режиме без симметричного алгоритма шифрования. Обычно авторы вымогательских программ стремятся завершить операцию шифрования за минимальное время. Асимметричные алгоритмы шифрования не являются очевидным выбором, поскольку они значительно медленнее симметричных алгоритмов.

Indicators of Compromise

IPv4

  • 173.232.146.118

Domains

  • r2gttyb5vqu6swf5.onion

URLs

  • http://<server_address>//BnpOnspQwtjCA/register
  • http://173.232.146.118/Bnyar8RsK04ug/

SHA256

  • 85ec7f5ec91adf7c104c7e116511ac5e7945bcf4a8fdecdcc581e97d8525c5ac
  • 426ba2acf51641fb23c2efe686ad31d6398c3dd25c2c62f6ba0621455a3f7178
  • 4bfd58d4e4a6fe5e91b408bc190a24d352124902085f9c2da948ad7d79b72618
SEC-1275-1
Добавить комментарий