Kibernetinio saugumo įmonė „Emsisoft“ išleido nemokamą iššifravimo įrankį, padedantį „Diavol“ išpirkos reikalaujančių programų aukoms susigrąžinti failus nemokant išpirkos.
Diavol išpirkos programinės įrangos aukos gali atsisiųsti nemokamą įrankį iš Emsisoft serverių, kad iššifruotų savo duomenis, vadovaudamiesi išsamiomis instrukcijomis, pateiktomis šiame vartotojo vadove [PDF].
„Iššifruotojui reikalinga prieiga prie failų poros, kurią sudaro užšifruotas failas ir originali nešifruota šifruoto failo versija, kad būtų galima atkurti šifravimo raktus, reikalingus likusiems jūsų duomenims iššifruoti“, – aiškina Emsisoft.
„Pagal numatytuosius nustatymus iššifravimo priemonė iš anksto įves vietas, kad iššifruotų šiuo metu prijungtus diskus ir tinklo diskus.
Šis „Diavol“ išpirkos programų iššifravimo įrankis išsaugos užšifruotus failus atakoje kaip apsaugos mechanizmą, jei iššifruoti failai nėra identiški originaliems dokumentams.
Be to, jame yra funkcija „Leisti dalinį didelių failų iššifravimą“, kuri reikalinga norint iš dalies atkurti kai kuriuos failus, didesnius nei failų pora, skirta šifravimo raktams atkurti. Tai būtina, nes iššifruotojas gali nesugebėti atkurti tokių failų dėl techninių apribojimų.
Vaizdas: Emsisoft
Skirtingai nuo kitų išpirkos reikalaujančių programų šeimų, kurios naudoja simetriškus algoritmus, kad žymiai pagreitintų šifravimo procesą, Diavol šifravimo procedūroje naudojami vartotojo režimo asinchroninių procedūrų iškvietimai (APC) su asimetriniu šifravimo algoritmu.
„Diavol“ taip pat nėra užtemdytas, nes jame nenaudojama jokių pakavimo ar išmontavimo gudrybių, tačiau ji vis tiek trukdo analizei, nes pagrindinės rutinos saugomos bitmap vaizduose.
Prieš baigiant šifravimo procesą, „Diavol“ pakeis šifruotų „Windows“ įrenginių foną į juodo ekrano foną su pranešimu „Visi jūsų failai užšifruoti! Norėdami gauti daugiau informacijos, žr. „README-FOR-DECRYPT.txt“.
Pažymėtina, kad nors „Diavol“ išpirkos reikalaujančios programos iš pradžių sukūrė išpirkos raštelius, pavadintus README_FOR_DECRYPT.txt, kaip pažymėjo FTB, „BleepingComputer“ lapkritį pakeitė išpirkos raštelius, pavadintus Warning.txt.
Išpirkos laiškas iš Diavol („BleepingComputer“)
„FortiGuard Labs“ saugumo tyrėjai pirmą kartą susiejo šią išpirkos reikalaujančią programinę įrangą su „TrickBot“ gauja (taip pat žinoma kaip „Wizard Spider“), kai aptiko, kad ji buvo įdiegta įvairiose sistemose kartu su „Conti“ išpirkos programinės įrangos naudingosiomis apkrovomis per ataką, kurią blokavo bendrovės EDR sprendimas. įmonė 2021 m. birželio pradžioje.
Po jo pranešimo ir tikriausiai sulaikius Alla Witte, kuri dalyvavo kuriant išpirkos programas kenkėjiškų programų gaujai, FTB taip pat oficialiai susiejo jį su „TrickBot“ elektroninių nusikaltimų gauja.
Ši Rusijoje įsikūrusi finansiškai motyvuota elektroninių nusikaltimų grupė valdo „Trickbot“ robotų tinklą, kuris naudojamas antros pakopos kenkėjiškoms programoms paleisti pažeistose sistemose ir tinkluose.
FTB pirmą kartą sužinojo apie išpirkos reikalaujančią programinę įrangą 2021 m. spalį ir nuo to laiko sulaukė nuo 10 000 iki 500 000 USD išpirkos reikalavimų, o po derybų dėl išpirkos buvo priimti mažesni mokėjimai.
Šios išpirkos smarkiai prieštarauja didžiulėms išpirkoms, kurių reikalauja kitos su „TrickBot“ susijusios išpirkos programų grupės, įskaitant Conti ir Ryuk. Jie istoriškai reikalavo kelių milijonų dolerių išmokų už krekerius ir nepaskelbtų pavogtų duomenų internete.
Nors „Diavol“ išpirkos programa buvo aktyvi mažiausiai nuo 2021 m. birželio mėn., ji niekada nebuvo labai aktyvi ir „ID-Ransomware“ paslaugai pateikė tik kelias dešimtis.
„Diavol“ išpirkos reikalaujančių programų veikla („BleepingComputer“ / „ID-Ransomware“)
Ką tu manai?
