Décrypteur gratuit publié pour TrickBot gang Diavol ransomware

La société de cybersécurité Emsisoft a publié un outil de décryptage gratuit pour aider les victimes du rançongiciel Diavol à récupérer leurs fichiers sans payer de rançon.

Les victimes du rançongiciel Diavol peuvent télécharger l'outil gratuit depuis les serveurs d'Emsisoft pour décrypter leurs données en suivant les instructions détaillées disponibles dans ce guide de l'utilisateur [PDF].

'Le décrypteur nécessite l'accès à une paire de fichiers composée d'un fichier crypté et de la version originale non cryptée du fichier crypté afin de reconstruire les clés de cryptage nécessaires pour décrypter le reste de vos données', explique Emsisoft.

'Par défaut, le décrypteur pré-remplit les emplacements à décrypter avec les lecteurs et les lecteurs réseau actuellement connectés.'

Cet outil de décryptage du rançongiciel Diavol conservera les fichiers cryptés dans l'attaque en tant que mécanisme de sécurité si les fichiers décryptés ne sont pas identiques aux documents originaux.

En outre, il est livré avec 'Autoriser le décryptage partiel des fichiers volumineux', nécessaire pour récupérer partiellement certains fichiers plus volumineux que la paire de fichiers fournie pour reconstruire les clés de cryptage. Cela est nécessaire car le décrypteur peut ne pas être en mesure de récupérer ces fichiers en raison de limitations techniques.

codeur diable

Image : Emsisoft

Contrairement à d'autres familles de rançongiciels qui utilisent des algorithmes symétriques pour accélérer considérablement le processus de cryptage, la procédure de cryptage de Diavol utilise des appels de procédure asynchrones en mode utilisateur (APC) avec un algorithme de cryptage asymétrique.

Diavol n'est pas non plus obscurci, car il n'utilise aucune astuce d'empaquetage ou d'anti-désassemblage, mais il entrave toujours les efforts d'analyse en stockant ses principales routines dans des images bitmap.

Avant que le processus de cryptage ne soit terminé, Diavol changera les arrière-plans des appareils Windows cryptés en un fond d'écran noir avec le message 'Tous vos fichiers sont cryptés ! Pour plus d'informations, consultez 'README-FOR-DECRYPT.txt'.

Notamment, alors que le rançongiciel Diavol créait à l'origine des notes de rançon nommées README_FOR_DECRYPT.txt, comme l'a noté le FBI, BleepingComputer a vu un changement en novembre dans les notes de rançon nommées Warning.txt.

Notes de rançon Diavol

Note de rançon de Diavol (BleepingComputer)

Les chercheurs en sécurité de FortiGuard Labs ont d'abord lié cette souche de ransomware au gang TrickBot (également connu sous le nom de Wizard Spider) après l'avoir détectée déployée sur différents systèmes aux côtés des charges utiles de ransomware Conti lors d'une attaque bloquée par la solution EDR de l'entreprise. entreprise début juin 2021.

Après son rapport et probablement après l'arrestation d'Alla Witte, qui était impliquée dans le développement de rançongiciels pour le gang de logiciels malveillants, le FBI l'a également officiellement lié au gang de cybercriminels TrickBot.

Ce groupe de cybercriminalité à motivation financière basé en Russie exploite le botnet Trickbot qui est utilisé pour lancer des logiciels malveillants de deuxième étape sur des systèmes et des réseaux compromis.

Le FBI a été informé pour la première fois de la souche de ransomware en octobre 2021 et a depuis vu des demandes de rançon comprises entre 10 000 et 500 000 dollars, des paiements inférieurs étant acceptés à la suite de négociations de rançon.

Ces rançons contrastent fortement avec les rançons massives exigées par d'autres gangs de rançongiciels liés à TrickBot, notamment Conti et Ryuk. Ils ont toujours exigé des paiements de plusieurs millions de dollars pour les crackers et la non-divulgation de données volées en ligne.

Bien qu'actif depuis au moins juin 2021, le ransomware Diavol n'a jamais été très actif et ne compte que quelques dizaines de soumissions au service ID-Ransomware.

Activité du rançongiciel Diavol (BleepingComputer / ID-Ransomware)

Qu'est-ce que tu penses?