Diavol Ransomware – kolejny wschodzący gang ransomware?

Diavol Ransomware to nowy projekt, z którym badacze cyberbezpieczeństwa zetknęli się w sieci. Twórcy tego trojana szyfrującego pliki działają podobnie do innych głośnych gangów ransomware. Ich zagrożenie twierdzi, że ma zdolność zarówno kradzieży, jak i szyfrowania plików. Należy jednak dodać, że żadna z próbek Diavol Ransomware nie wykazała zdolności do kradzieży danych. Może to oznaczać, że twórcy Diavol Ransomware blefują na temat kradzieży danych lub planują dodać tę funkcję później.

Diavol Ransomware Gang stawia pierwsze kroki

Niestety, podczas gdy część dotycząca kradzieży danych może być na razie kłamstwem, atak polegający na szyfrowaniu plików nie jest żartem. Nie można go cofnąć za pomocą bezpłatnych narzędzi deszyfrujących, a jego ofiary mogą mieć trudności z przywróceniem dostępu do swoich danych. Diavol Ransomware podejmuje również dodatkowe środki, aby usunąć ukryte kopie woluminów i punkty przywracania systemu, co jeszcze bardziej utrudnia odzyskiwanie danych. Podobne działania są wykonywane przez inne rodziny ransomware, takie jak nieistniejący już DarkSide Ransomware .

Po ataku Diavol Ransomware upuszcza dokument okupu „README_FOR_DECRYPT.txt”. Zaleca ofierze pobranie i zainstalowanie przeglądarki TOR, której może użyć do uzyskania dostępu do strony płatności opartej na TOR. Jak już powiedzieliśmy, notatka zawiera również wiadomość, która informuje ofiary, że ich serwery są zablokowane, a dane zostały skradzione.

Operatorzy oprogramowania ransomware Diavol mogą ręcznie organizować ataki

Twórcy Diavol Ransomware mogą zmodyfikować atak swojego implantu, gdy tylko się zacznie. Mogą to zrobić, przesyłając zakodowane na stałe polecenia, które pozwalają im wykonywać różne zadania. Na przykład /services pozwala im wskazać dokładnie te usługi systemu Windows, które chcą zatrzymać. Mogą użyć /ext, aby poinformować implant, które rozszerzenia plików mają ignorować. Chociaż wszystkie te parametry mają wartości domyślne, przestępcy wydają się chcieć mieć możliwość ich modyfikowania w locie.

Gdy atak zbliża się do końca, Diavol Ransomware zrzuca żądanie okupu. Zastępuje również tapetę pulpitu czarno-białym obrazem z napisem „ Aby uzyskać więcej informacji, zobacz README-FOR-DECRYPT.txt ”. Wreszcie, wszystkie pliki, które blokuje Diavol Ransomware, będą miały tag nazwy z rozszerzeniem „.lock64”.

Niestety, odwrócenie szyfrowania Diavol Ransomware może być niewykonalnym zadaniem. Ofiary nie powinny rozważać przyjęcia oferty zakupu deszyfratora dla przestępców. Nie ma gwarancji, że możesz im zaufać, a jak dotąd ich twierdzenie, że ukradli pliki, jest blefem. Wskazane jest wyeliminowanie Diavol Ransomware za pomocą narzędzia antywirusowego, a następnie eksperymentowanie z alternatywnymi rozwiązaniami do odzyskiwania plików.