Emsisoft stelt decryptietool voor Diavol-ransomware beschikbaar – IT Pro – Nieuws

Beveiligingsbedrijf Emsisoft heeft een decryptietool online gezet voor de Diavol-ransomware, die gelinkt wordt aan de Russische Trickbot-groep, van de gelijknamige malware. De decryptietool heeft een origineel en een versleuteld bestand nodig om alle versleutelde data te ontsleutelen.

De Diavol-ransomware versleutelt de bestanden van een slachtoffer, waarna tussen de 10.000 en 500.000 dollar losgeld geëist wordt om de bestanden te ontsleutelen. De ransomware werd in juli 2021 ontdekt door beveiligingsbedrijf Fortinet en na analyse werden er verbanden gevonden tussen Diavol en de Russische criminelen achter de Trickbot-malware, die gebruikt werd om een gigantisch botnet op te bouwen. Emsisoft heeft nu een decryptietool online gezet voor de ransomware, die het heeft ontwikkeld met hulp van het threat intel-team van Walmart.

De decryptietool heeft toegang nodig tot een bestandspaar met het originele versleutelde bestand en een onversleutelde versie van het bestand. Daarmee kan het de encryptiesleutels maken die nodig zijn om de rest van de versleutelde data op een systeem te ontsleutelen. De onderzoekers van Walmart ontdekten dat de encryptiesleutel een XOR-operatie uitvoert, waarbij bestanden in blokken van 2048 bytes versleuteld worden. Daardoor kunnen bekende plaintext-kwetsbaarheden gebruikt worden om de bestanden te ontsleutelen. Emsisoft heeft dat geautomatiseerd in een tool.

Trickbot werd in eerste instantie ook gebruikt als ransomware, maar groeide uit tot malware om botnets op te bouwen. Diavol werd door de Trickbot-ontwikkelaars gemaakt en toegevoegd aan de malware als nieuwe ransomwarelaag, legt de FBI uit in een pdf. Voor de medeontwikkeling van Trickbot werd in juni vorig jaar een Letse vrouw aangeklaagd.