Diavol

Diavol Ransomware

LockMainDIB Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей и серверов с помощью RSA, а затем требует посетить сайт вымогателей, чтобы узнать, как заплатить выкуп, чтобы вернуть файлы. Оригинальное название: Diavol. На файле написано: locker.exe.
---
Обнаружения:
DrWeb -> Trojan.MulDrop18.43992, Trojan.MulDrop18.43415, Trojan.MulDrop18.43998, Trojan.Encoder.34432
ALYac -> Trojan.Ransom.CryptoLocker, Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/AD.RansomHeur.tugmn, TR/Redcap.xyzla, TR/ATRAPS.Gen
BitDefender -> Trojan.GenericKD.47184519, Trojan.GenericKD.37798110, Trojan.GenericKD.47164045
ESET-NOD32 -> A Variant Of Win64/Filecoder.Diavol.A
Kaspersky -> Trojan-Ransom.Win32.Encoder.ocs, HEUR:Trojan-PSW.Win32.Stealer.gen, Trojan-Ransom.Win32.Encoder.oct
Malwarebytes -> Ransom.Diavol, Ransom.Agent.ED 
Microsoft -> Trojan:Win32/Sabsik.FL.B!ml, Trojan:Win32/Sabsik.FL.B!ml
Symantec -> Trojan Horse, Trojan.Gen.MBT
TrendMicro -> TROJ_FRS.0NA103JF21, TROJ_GEN.R002H0DJD21, TROJ_GEN.R002H0CJC21
---

© Генеалогия: ✂ Conti-2, 3 >> Diavol

Сайт "ID Ransomware" это идентифицирует как Diavol. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце июне 2021 г. Точной даты не сообщалось, образец вредоносного файла не опубликован. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .lock64

Записка с требованием выкупа называется: README_FOR_DECRYPT.txt

Содержание записки о выкупе:

# What happened? #

Your network was ATTACKED, your computers and servers were LOCKED.

You need to buy decryption tool for restore the network.

Take into consideration that we have also downloaded data from your network that in case of not making paynent will be published on our news website.

# How to get my files back? #

1. Download Tor Browser and install it.

2. Open the Tor Browser and visit our website - hxxxs://r2gttyb5vqu6swf5.onion/***/***

Tor Browser may be block in your country or corporate network. Try to use Tor over VPN!

Перевод записки на русский язык:

# Что случилось? #

Ваша сеть АТАКОВАНА, ваши компьютеры и серверы БЛОКИРОВАНЫ.

Вам надо купить средство дешифрования, чтобы восстановить сеть.

Учтите, что мы также загрузили данные из вашей сети, которые в случае неуплаты будут опубликованы на нашем новостном сайте.

# Как вернуть мои файлы? #

1. Загрузите Tor браузер и установите его.

2. Откройте Tor браузер и посетите наш веб-сайт - hxxxs://r2gttyb5vqu6swf5.onion/***/***

Tor браузер может быть заблокирован в вашей стране или в корпоративной сети. Попробуйте использовать Tor через VPN!

Другим информатором является изображение, заменяющее обои Рабочего стола. 

Скриншоты сайта вымогателей: 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Исследователи из FortiGuard Labs предположили связь Diavol Ransomware с киберпреступной группой Wizard Spider считают её российской), стоящей за ботнетом Trickbot, и распространением Conti Ransomware, но не смогли найти прямой связи и не предоставили неопровержимых доказательств. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Diavol включает 14 различных подпрограмм, хранящихся в виде растровых изображений. Они вызываются в порядке, указанном на схеме. 

GENBOTID создает уникальный идентификатор для каждого зараженного компьютера. Он состоит из следующих компонентов:

<NetBIOS_computer_name> + <username> + "_W" + <OS major version in hex> + <OS minor version in hex> + <OS build number in hex> + "." + <random_GUID_bytes in hex>

Возможно этот ID должен выглядить примерно так: CNServerAdmin_WXXXXXXXXXXXX.XXXX

Но я не уверен, а реальный пример исследователями не предоставлен. 

➤ Diavol завершает запущенные процессы, которые могут заблокировать доступ к ценным файлам, таким как базы данных, офисные приложения, финансовое и бухгалтерское программное обеспечение, веб-серверы и виртуальные машины.

Так подпрограмма SERVPROC завершает работу служб с помощью API диспетчера служб (SCM). Для этого нужны права администратора, поэтому злоумышленники заранее предприняли соответствующие действия. Среди них попытка остановить следующие службы:

sqlservr.exe, sqlmangr.exe, RAgui.exe, QBCFMonitorService.exe, supervise.exe, fdhost.exe, Culture.exe, RTVscan.exe, Defwatch.exe, wxServerView.exe, sqlbrowser.exe, winword.exe, GDscan.exe, QBW32.exe, QBDBMgr.exe, qbupdate.exe,axlbridge.exe, 360se.exe, 360doctor.exe, QBIDPService.exe, wxServer.exe, httpd.exe, fdlauncher.exe, MsDtSrvr.exe, tomcat6.exe, java.exe, wdswfsafe.exe.

Подпрограмма KILLPR пытается завершить процессы из следующего списка: 

DefWatch, ccEvtMgr, ccSetMgr, SavRoam, dbsrv12, sqlservr, sqlagent, Intuit.QuickBooks.FCS, dbeng8, sqladhlp, QBIDPService, Culserver, RTVscan, vmware-usbarbitator64, vmware-converter, VMAuthdService, VMnetDHCP, VMUSBArbService, VMwareHostd, sqlbrowser, SQLADHLP, sqlwriter, msmdsrv, tomcat6, QBCFMonitorServicechrome.exe, outlook.exe, chrome.exe

➤ Diavol использует асинхронные вызовы процедур (APC) пользовательского режима без симметричного алгоритма шифрования, несмотря на то, что алгоритмы асимметричного шифрования работают значительно медленнее, чем симметричные алгоритмы.

➤ Хотя Diavol не упакован и не имеет каких-либо приемов анти-дизассемблирования, он использует интересную технику антианализа для обфускации своего кода. Его основные процедуры хранятся в растровых BMP-изображениях, которые хранятся в разделе ресурсов PE. Перед вызовом каждой подпрограммы копируются байты из растрового изображения в глобальный буфер, имеющий разрешения на выполнение.

Импорты, используемые каждой подпрограммой, также хранятся в разделе ресурсов под "OFFSET" с теми же именами, что и BMP-изображения.

Более подробно это описано в оригинальной статье Fortinet (ссылка). 

Список типов файлов, подвергающихся шифрованию:
Шифруются файлы многих типов, это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список исключаемых расширений файлов, названий файлов и путей:

.exe, .sys, .dll, .lock64, readme_for_decrypt.txt, locker.txt, unlocker.txt, %WINDIR%\, %PROGRAMFILES%\, %PROGRAMW6432%\, %TEMP%\

Файлы, связанные с этим Ransomware:
README_FOR_DECRYPT.txt - название файла с требованием выкупа;

README_FOR_XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX.txt - другой вариант файла с требованием выкупа; 
locker.exe - случайное название вредоносного файла; 

locker64.dll - еще один вредоносный файл; 

LockMainDIB.pdb - название файла проекта;

Diavol Unlocker - инструмент разблокировки и расшифровки файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

D:\Development\Master\onion\locker.divided\LockMainDIB\Release\LockMainDIB.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxxs://r2gttyb5vqu6swf5.onion

Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

SHA256: 85ec7f5ec91adf7c104c7e116511ac5e7945bcf4a8fdecdcc581e97d8525c5ac 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 15 октября 2021:

Сообщение >>

Расширение: .lock64

Записка: README_FOR_DECRYPT.txt + замена обоев

Файлы: CryptoLocker.exe, CryptoLocker32.exe, CryptoLocker64.dll, Locker.dll

IOC: VT MD5: f4928b5365a0bd6db2e9d654a77308d7

IOC: VT MD5: 3145c7e833b0372c3cab4d9f4949a718

IOC: VT MD5: 27b64857ffa56f676e45871a0d2cd164

IOC: VT MD5: 905870b51900d437aa7ac548b54efe36

Сайт вымогателей

Вариант ноября 2021:

Статья на сайте BLeepingComputer >>

Записка: WARNING.TXT

=== 2022 ===

Новость от 22 января 2022:

Статья на сайте BleepingComputer >>

ФБР связало Diavol Ransomware с кибергруппой TrickBot (Wizard Spider). 

Новость от 18 марта 2022:

Emsisoft обновил дешифровщик для Diavol >>

Вариант от 20 июня 2022:

Сообщение на форуме >>

Расширение: .lock64

Записка: WARNING.TXT

Tor-URL: hxxxs://7ypnbv3snejqmgce4kbewwvym4cm5j6lkzf2hra2hyhtsvwjaxwipkyd.onion/

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Topic of Support
 ***

Added later: 
Analysis of Diavol Ransomware (on August 17, 2021)
Reverse Engineering: Diavol Ransomware (on December 17, 2021)

Внимание!  
Файлы можно расшифровать. 
Скачайте Emsisoft Decryptor для расшифровки файлов >>

 Thanks: 
 Fortinet, Michael Gillespie, 
 Andrew Ivanov (article author)
 Emsisoft
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.