В последние дни кибербезопасность столкнулась с новой угрозой - вредоносной программой под названием Diavol Ransomware. Этот опасный вирус, скомпилированный с использованием Microsoft Visual C/C++, применяет сложные методы шифрования данных, что делает его особенно опасным для пользователей и организаций. Аналитики отмечают, что Diavol использует асинхронные вызовы процедур (APC) в пользовательском режиме, а также асимметричный алгоритм шифрования, что значительно усложняет процесс восстановления зашифрованных файлов без ключа дешифровки.
Описание
Распространение вредоносной программы происходит через фишинговые письма, содержащие ссылки на облачное хранилище OneDrive. Жертвам предлагается скачать ZIP-архив, внутри которого находится ISO-файл. После монтирования образа пользователь видит LNK-ярлык, замаскированный под безобидный документ. Однако при его открытии запускается цепочка заражения: вредоносная DLL активируется, и система начинает подвергаться атаке.
После проникновения в систему Diavol Ransomware выполняет ряд подготовительных действий. Сначала программа регистрирует устройство жертвы на удаленном сервере злоумышленников, что позволяет киберпреступникам отслеживать зараженные машины. Затем вредонос завершает работающие процессы, чтобы избежать обнаружения и блокировки со стороны антивирусного ПО. Далее он сканирует локальные диски в поисках ценных файлов для шифрования и уничтожает теневые копии, чтобы исключить возможность восстановления данных стандартными средствами Windows.
Одним из наиболее тревожных аспектов Diavol является его способ хранения основного кода. В отличие от многих других вредоносов, он не использует сложные методы обфускации или упаковки, однако его логика частично скрыта в растровых изображениях, что затрудняет статический анализ. При запуске программа извлекает исполняемый код из ресурсов PE-файлов (например, картинок) и загружает его в память с правами на выполнение.
Еще одной особенностью Diavol является генерация уникального идентификатора для каждой зараженной системы. Этот ID формируется в формате, схожем с тем, что использовался в известном банковском трояне TrickBot. Например: DESKTOP-4LUGU5I-reuser_W10019041.C3F3799FE69249579857D2039BBBAB11. Подобное сходство может указывать на возможную связь между разработчиками этих двух угроз или использование общих методов кодирования.
После завершения подготовки Diavol приступает к шифрованию файлов и изменяет обои рабочего стола, оставляя сообщение с требованием выкупа. Пока неизвестно, какие суммы требуют злоумышленники и насколько эффективны их инструменты дешифровки. Эксперты рекомендуют пользователям соблюдать осторожность при работе с электронной почтой, не открывать подозрительные вложения и регулярно создавать резервные копии важных данных.
Кибербезопасность остается одной из ключевых проблем современного цифрового мира, и появление таких угроз, как Diavol Ransomware, лишь подчеркивает необходимость постоянного обновления защитных механизмов и повышения осведомленности пользователей. Компании, специализирующиеся на информационной безопасности, уже работают над методами противодействия этой новой угрозе, но пока лучшей защитой остается бдительность и соблюдение базовых правил кибергигиены.
Индикаторы компрометации
SHA256
- 85ec7f5ec91adf7c104c7e116511ac5e7945bcf4a8fdecdcc581e97d8525c5ac
