Diavol Ransomware - Un autre gang de ransomware émergent?

Le Diavol Ransomware est un nouveau projet que les chercheurs en cybersécurité ont rencontré en ligne. Les créateurs de ce cheval de Troie de cryptage de fichiers agissent de la même manière que d'autres gangs de rançongiciels de premier plan. Leur menace prétend avoir la capacité à la fois de voler et de crypter des fichiers. Cependant, il est important d'ajouter qu'aucun des échantillons de Diavol Ransomware n'a montré la capacité de voler des données. Cela pourrait signifier que les créateurs de Diavol Ransomware bluffent sur le vol de données, ou qu'ils prévoient d'ajouter la fonctionnalité plus tard.

Diavol Ransomware Gang fait ses premiers pas

Malheureusement, bien que la partie vol de données puisse être un mensonge pour le moment, l'attaque de cryptage de fichiers n'est pas une blague. Il n'est pas réversible via des outils de décryptage gratuits, et ses victimes pourraient avoir du mal à restaurer l'accès à leurs données. Diavol Ransomware prend également des mesures supplémentaires pour effacer les clichés instantanés de volume et les points de restauration du système, rendant ainsi la récupération de données encore plus difficile. Des actions similaires sont effectuées par d'autres familles de ransomwares telles que DarkSide Ransomware , désormais disparue.

Après l'attaque de Diavol Ransomware, il supprime le document de rançon 'README_FOR_DECRYPT.txt'. Il conseille à la victime de télécharger et d'installer le navigateur TOR, qu'elle peut utiliser pour accéder à la page de paiement basée sur TOR. Comme nous l'avons déjà dit, la note contient également un message, qui indique aux victimes que leurs serveurs sont verrouillés et que les données ont été volées.

Les opérateurs de Diavol Ransomware peuvent orchestrer les attaques manuellement

Les créateurs du Diavol Ransomware peuvent modifier l'attaque de leur implant dès qu'elle commence. Ils peuvent le faire en soumettant des commandes codées en dur, qui leur permettent d'effectuer différentes tâches. Par exemple, /services leur permet de pointer les services Windows exacts qu'ils souhaitent arrêter. Ils peuvent utiliser /ext pour indiquer à l'implant les extensions de fichier à ignorer. Bien que tous ces paramètres aient des valeurs par défaut, les criminels semblent vouloir avoir la possibilité de les modifier à la volée.

Une fois l'attaque presque terminée, Diavol Ransomware abandonne la demande de rançon. Il remplace également le fond d'écran du bureau par une image en noir et blanc indiquant ' Pour plus d'informations, consultez README-FOR-DECRYPT.txt .' Enfin et surtout, tous les fichiers verrouillés par Diavol Ransomware porteront leur étiquette de nom avec l'extension « .lock64 ».

Malheureusement, inverser le cryptage de Diavol Ransomware pourrait être une tâche impossible. Les victimes ne devraient pas envisager d'accepter l'offre d'achat d'un décrypteur pour les criminels. Il n'y a aucune garantie que vous puissiez leur faire confiance, et jusqu'à présent, leur affirmation d'avoir volé des fichiers est un bluff. Il est conseillé d'éliminer le Diavol Ransomware à l'aide d'un outil antivirus, puis d'expérimenter d'autres solutions de récupération de fichiers.