Diavol Ransomware - dar viena kylanti Ransomware gauja?

„Diavol Ransomware“ yra naujas projektas, su kuriuo kibernetinio saugumo tyrėjai susidūrė internete. Šio failo šifravimo „Trojan“ kūrėjai veikia panašiai kaip ir kitos populiarios išpirkos išpirkos gaujos. Jų grėsmė teigia turinti galimybę ir pavogti, ir užšifruoti failus. Tačiau svarbu pridurti, kad nė vienas iš „Diavol Ransomware“ pavyzdžių neparodė galimybės pavogti duomenis. Tai gali reikšti, kad „Diavol Ransomware“ kūrėjai blefuoja dėl duomenų vagystės arba planuoja šią funkciją pridėti vėliau.

„Diavol Ransomware Gang“ žengia pirmuosius žingsnius

Deja, nors duomenų vagystės dalis kol kas gali būti melas, failų šifravimo ataka nėra juokas. Naudojant nemokamus iššifravimo įrankius, jo negalima pakeisti, o jo aukoms gali būti sunku atkurti prieigą prie savo duomenų. „Diavol Ransomware“ taip pat imasi papildomų priemonių, kad išnaikintų šešėlių tūrio kopijas ir sistemos atkūrimo taškus, todėl duomenų atkūrimas dar labiau apsunkinamas. Panašius veiksmus atlieka ir kitos išpirkos turinčių programų šeimos, pvz., Dabar nebeveikianti „ DarkSide Ransomware“ .

Po Diavol Ransomware atakos, jis numeta išpirkos dokumentą „README_FOR_DECRYPT.txt“. Jis pataria aukai atsisiųsti ir įdiegti TOR naršyklę, kurią jie gali naudoti norėdami patekti į TOR pagrįstą mokėjimo puslapį. Kaip jau minėjome, pažymoje taip pat yra pranešimas, kuriame aukoms pranešama, kad jų serveriai užrakinti ir duomenys pavogti.

„Diavol Ransomware“ operatoriai gali rankiniu būdu organizuoti atakas

„Diavol Ransomware“ kūrėjai gali pakeisti savo implanto ataką, kai tik ji prasideda. Jie tai gali padaryti pateikdami kietojo kodavimo komandas, leidžiančias atlikti skirtingas užduotis. Pavyzdžiui, „ / services“ leidžia tiksliai nurodyti „Windows“ paslaugas, kurias jie nori sustabdyti. Jie gali naudoti / ext, norėdami pasakyti implantui, kuriuos failų plėtinius ignoruoti. Nors visi šie parametrai turi numatytąsias vertes, atrodo, kad nusikaltėliai nori turėti galimybę juos keisti bet kada.

Kai ataka bus beveik baigta, „Diavol Ransomware“ numeta išpirkos raštelį. Jis taip pat pakeičia darbalaukio foną juodai baltu atvaizdu, kuriame sakoma „ Norėdami gauti daugiau informacijos, skaitykite README-FOR-DECRYPT.txt “. Paskutinis, bet ne mažiau svarbus dalykas - visi failai, kuriuos užrakina „Diavol Ransomware“, turės savo vardų žymą su plėtiniu „.lock64“.

Deja, pakeisti Diavol Ransomware šifravimą gali būti neįmanoma. Nukentėjusieji neturėtų svarstyti galimybės priimti nusikaltėliams skirtą iššifravimo priemonę. Nėra garantijos, kad galite jais pasitikėti, ir kol kas jų tvirtinimas, kad pavogti failai, yra blefas. „Diavol Ransomware“ patartina pašalinti naudojant antivirusinę priemonę ir tada eksperimentuoti su alternatyviais failų atkūrimo sprendimais.