http://dl4.joxi.net/drive/2021/07/03...1e2f9c9cef.jpg
В ходе разбора одной из недавних атак эксперты Fortinet обнаружили новую вымогательскую программу с именем Diavol. Анализ ее образцов выявил сходство по коду с Conti — хорошо известным шифровальщиком, для доставки которого зачастую используются боты Trickbot.
Новобранец был запущен в сеть клиента Fortinet вместе с новейшей (третьей) версией Conti, но с интервалом в один день и на разные Windows-машины. Как оказалось, интервенты используют одинаковые параметры командной строки для запуска поиска дисков и шифрования файлов. Однако Diavol отличает отсутствие проверок, предотвращающих шифрование на территории России, и признаков кражи данных для публикации в случае неуплаты выкупа.
Новоявленный зловред также не использует обфускацию — только прячет основные подпрограммы в растровых изображениях, которые эксперты обнаружили в ресурсах исполняемого файла (locker.exe).
Совокупно анализ Diavol выявил 14 различных процедур и функций, выполняемых в следующем порядке:
<ul><li>создание идентификатора жертвы;</li>
</ul><ul><li>инициализация (копирование вшитых в код параметров конфигурации); регистрация на C2-сервере (расположен в Германии), обновление конфигурации;</li>
</ul><ul><li>принудительное завершение Windows-служб и процессов для максимального охвата файлов (Google Chrome, базы данных, веб-серверы, офисные и финансовые приложения, виртуальные машины);</li>
</ul><ul><li>инициализация ключа шифрования (публичный RSA);</li>
</ul><ul><li>поиск дисков для шифрования (локальные и сетевые общего пользования);</li>
</ul><ul><li>поиск файлов для шифрования;</li>
</ul><ul><li>удаление теневых копий Windows (чтобы воспрепятствовать восстановлению данных);</li>
</ul><ul><li>шифрование (с использованием стандартного WinCrypt API, к итогу добавляется расширение .lock64);</li>
</ul><ul><li>замена обоев рабочего стола.</li>
</ul>О завершении работы Diavol свидетельствует черный экран, сообщающий жертве о случившемся и предлагающий ознакомиться с информацией в файле README-FOR-DECRYPT.txt. Эти файлы создаются во всех папках независимо от наличия зашифрованных файлов.
В тексте README приведены инструкции со ссылкой на сайт в сети Tor. Продолжая запугивать жертву, злоумышленники утверждают, что похитили данные из сети, и обещают опубликовать их, если не получат деньги. Поскольку признаков кражи аналитики не обнаружили, было решено, что это просто блеф — или задел под будущий функционал.
Для преобразования файлов Diavol использует ассиметричное шифрование — редкий случай для вымогательских программ. Их создатели обычно отдают предпочтение симметричным шифрам, которые работают гораздо быстрее.
Имя нового вредоноса исследователи обнаружили на onion-сайте, созданном злоумышленниками для контроля платежей. Оплата дешифратора принимается в биткойнах.
https://www.anti-malware.ru/files/image1diavol.png
Каким образом Diavol и Conti попали в сеть жертвы, установить не удалось. Поскольку операторы Conti состоят в партнерских отношениях с ботоводами Trickbot, аналитики предположили, что «дьявольская» атака — тоже их инициатива.