TrickBot-Bande betreibt Diavol-Ransomware Die Analyse von Diavol-RansomwareEmpfohlene Maßnahmen gegen Diavol-Ransomware How to! TrickBot-Bande betreibt Diavol-Ransomware Die Analyse von Diavol-RansomwareEmpfohlene Maßnahmen gegen Diavol-Ransomware How to. TrickBot-Bande betreibt Diavol-Ransomware Die Analyse von Diavol-RansomwareEmpfohlene Maßnahmen gegen Diavol-Ransomware How to.
TrickBot-Bande betreibt Diavol-Ransomware Die Analyse von Diavol-RansomwareEmpfohlene Maßnahmen gegen Diavol-Ransomware How to?
TrickBot-Bande betreibt Diavol-Ransomware Die Analyse von Diavol-RansomwareEmpfohlene Maßnahmen gegen Diavol-Ransomware How to. Dies ist wichtig für die erfolgreiche Verwendung der Entschlüsselungslösung. Stellen Sie sicher, dass Sie die Malware unter Quarantäne stellen, damit sie nicht wiederkehrt, wenn Sie mit der Wiederherstellung Ihrer Dateien fertig sind.
Cybersicherheitsexperten raten auch, wenn Ihr System über die Windows-Remotedesktopfunktion kompromittiert wurde, sollten Sie sofort die Passwörter aller Benutzer ändern, die Zugriff haben, und die lokalen Benutzerkonten überprüfen, denen Angreifer möglicherweise zusätzliche Konten hinzugefügt haben.
Der Rat wäre auch, die Dateinamen der ursprünglichen und verschlüsselten Dateien nicht zu ändern. Der Entschlüsseler führt die Dateinamenvergleiche durch, um die richtige Dateierweiterung auszuwählen, die für die Verschlüsselung verwendet wurde.
Das Entschlüsselungstool fordert Sie auf, auf ein Dateipaar zuzugreifen, das aus einer verschlüsselten Datei und der Originaldatei bestehen sollte, eine unverschlüsselte Version der verschlüsselten Datei. Dies ist erforderlich, um die Verschlüsselungsschlüssel zu rekonstruieren, um den Rest Ihrer Daten zu entschlüsseln. Die Datei muss in der Nähe sein 20 kb groß oder größer.
Lesen Sie bitte eine Anleitung zur Verwendung des Entschlüsselungstools weiter zum Link.
TrickBot-Bande betreibt Diavol-Ransomware Die Analyse von Diavol-RansomwareEmpfohlene Maßnahmen gegen Diavol-Ransomware How to?
Erstmals im Juli von Cybersicherheitsspezialisten entdeckt 2021 Diese Ransomware-Familie zeigte, dass sie über eine doppelte Erpressungsfunktion verfügt. Dies bedeutet, dass diese Malware nicht nur die Dateien verschlüsselt, sondern auch, wie die Ersteller behaupten, die Daten exfiltrieren kann.
Zauberspinne, eine Cybercrime-Gruppe, die dahintersteckt Fortsetzung und Ryuk Ransomware-Familie und betreibt auch das Trickbot-Botnetz, betreibt auch die Diavol-Ransomware.
Diese Ransomware-Familie verwendet RSA-Verschlüsselung und konzentriert sich speziell auf Dateitypen, die von den Betreibern aufgelistet werden. Die Malware weist jeder Datei die Erweiterung „.lock64“ zu und hinterlässt anschließend eine Lösegeldforderung mit Anweisungen.
Die Ransomware generiert für den Computer jedes Opfers eine eindeutige Kennung und versucht dann, eine Verbindung zu einem fest codierten Befehl und einer Steuerung herzustellen (C&C) Server.
Laut FBI-Untersuchung Die Lösegeldforderungen der Diavol gehen auf $500,000 mit der niedrigsten Summe von $10,000.
TrickBot-Bande betreibt Diavol-Ransomware Die Analyse von Diavol-RansomwareEmpfohlene Maßnahmen gegen Diavol-Ransomware How to
Das Wort “Teufel” kommt aus dem Rumänischen und bedeutet Teufel. Die Cybersecurity-Forscher sahen es gemeinsam mit Conti Ransomware wird Anfang Juni eingesetzt 2021 in einem Netzwerk im selben Ransomware-Angriff.
Die Forscher analysierten die beiden Ransomware-Proben. Zu den gefundenen Ähnlichkeiten zwischen allen gehörten fast identische Befehlszeilenparameter für dieselbe Funktionalität und die Verwendung asynchroner E/A-Operationen für die Warteschlangenbildung bei der Dateiverschlüsselung. Aber es gab nicht genügend Beweise, um die beiden Operationen formal miteinander zu verknüpfen.
Monate später, Forscher von IBM X-Force entdeckten auch eine starke Verbindung zwischen TrickBot, Anchor- und Diavol-Ransomware. Alles Produkte, die von der TrickBot Gang entwickelt wurden, alias Zauberspinne.
Im Januar 2022 Das FBI gab offiziell bekannt, dass die Diavol-Ransomware eine direkte Verbindung zur TrickBot-Bande hat, die neue Hinweise auf Kompromittierung gibt, die bei früheren Angriffen festgestellt wurden. In Ergänzung, Das FBI hat die Behauptungen von Cyberkriminellen, Opferdaten preiszugeben, trotz der damit drohenden Ransomware-Notizen nicht bestätigt.
TrickBot-Bande betreibt Diavol-Ransomware Die Analyse von Diavol-RansomwareEmpfohlene Maßnahmen gegen Diavol-Ransomware How to
Während einer Ausführung auf einem kompromittierten Computer entnimmt die Ransomware den Code aus den Bildern’ Abschnitt PE-Ressourcen. Anschließend lädt es den Code aus einem Puffer mit Ausführungsberechtigungen.
Der extrahierte Code beträgt 14 verschiedene Routinen, die in der folgenden Reihenfolge ausgeführt werden:
- Erstellt eine Kennung für das Opfer;
- Initialisiert die Konfiguration ;
- Ändert das Desktop-Hintergrundbild;
- Führt eine Verschlüsselung durch;
- Verhindert die Wiederherstellung durch Löschen von Schattenkopien;
- Findet zu verschlüsselnde Dateien;
- Findet alle zu verschlüsselnden Laufwerke;
- Initialisiert den Verschlüsselungsschlüssel;
- Stoppt Dienste und Prozesse;
- Registrierung bei der C&C-Server und aktualisiert die Konfiguration.
Wenn alles sauber erledigt ist, ändert die Diavol-Ransomware den Hintergrund jedes verschlüsselten Windows-Geräts mit der nächsten Nachricht in ein schwarzes Hintergrundbild: “Alle Ihre Dateien werden verschlüsselt! Weitere Informationen finden Sie unter README-FOR-DECRYPT.txt”
Der Diavol-Ransomware fehlt jegliche Verschleierung, da sie keine Anti-Disassemblierungs-Tricks oder Verpackungen verwendet. Allerdings wird die Analyse dadurch erschwert, dass die Hauptroutinen in Bitmap-Bildern gespeichert werden.
Apropos Verschlüsselungsverfahren: Die Ransomware verwendet asynchrone Prozeduraufrufe im Benutzermodus (APCs) mit einem asymmetrischen Verschlüsselungsalgorithmus.
Das unterscheidet diese Ransomware-Familie von den anderen, da andere Ransomware-Familien symmetrische Algorithmen verwenden, die den Verschlüsselungsprozess erheblich beschleunigen.
TrickBot-Bande betreibt Diavol-Ransomware Die Analyse von Diavol-RansomwareEmpfohlene Maßnahmen gegen Diavol-Ransomware How to
Der Benutzer kann die folgenden Maßnahmen anwenden, um das Risiko eines Ransomware-Angriffs zu verringern:
- Fokussierung auf Sensibilisierung und Schulung für Cybersicherheit. Es ist vielmehr Aufgabe der Arbeitgeber, ihre Mitarbeiter über neu auftretende Bedrohungen und Maßnahmen im Falle eines Angriffs zu informieren;
- Verwenden Sie nur private sichere Netzwerke und vermeiden Sie die öffentlichen. Sie können auch die Installation und Verwendung eines VPN in Betracht ziehen;
- Verwenden Sie die Multi-Faktor-Authentifizierung, wo dies möglich ist;
- Deaktivieren von Hyperlinks in E-Mails;
- Installation und regelmäßige Aktualisierung einer Antivirensoftware auf allen Hosts, die auch eine Erkennung in Echtzeit ermöglicht;
- Installieren von Updates, sobald sie veröffentlicht werden;
- Regelmäßige Datensicherung. Aktivieren Sie auch den Passwortschutz über Sicherungskopien offline. Stellen Sie außerdem sicher, dass die Sicherungsdaten nicht für unbefugte Änderungen zugänglich sind;
- Implementierung der Netzwerksegmentierung und Aufbewahrung der Offline-Sicherung der Daten.
Nicht wissen, woher die Ransomware-Überraschung kommen könnte, Es ist immer besser, im Falle eines echten Angriffs einige Garantien zu haben.
Um das Letzte zu sagen, sagen viele Cybersicherheitsspezialisten, dass das kriminelle Ransomware-Ökosystem immer weiter wächst, insbesondere da sich alles schnell in die digitale Existenz verlagert. Sie äußern sich besorgt darüber, ob die Cybersicherheitsgemeinschaft mit dem Tempo Schritt hält. Mit Sicherheit zu sagen ist schwer, aber die letzten Sommerartikel und die nachfolgenden Artikel Verhaftung vieler Ransomware-Betreiber zeigen die Bemühungen der Cybersecurity-Community.
