DEVMAN ransomware
Az ANY.RUN blogján közzétett technikai elemzés szerint a DEVMAN ransomware egy viszonylag új zsarolóvírus, amely ugyanúgy épít a DragonForce (Conti) ransomware-kódkészletére, de komoly módosításokat hajtott végre, miáltal különálló fenyegetésként jelenik meg. A fájlokat a *.DEVMAN kiterjesztéssel titkosítja, a háttérben hol online, hol helyi többfunkciós titkosítási módokat alkalmaz, és SMB‑megosztásokon próbál terjedni – minden korábbinál gyorsabban és alacsonyabb hálózati zajjal.
A vizsgált mintában számos sajátosság volt megfigyelhető, a Windows 11-en nem sikerült módosítania a háttérképet, de Windows 10-en igen; builderhiba miatt a váltságdíjas szöveg gyakran magától titkosult, így a váltságdíj‑üzenet olvashatatlanná vált; teljesen offline működött, nem kommunikált külső szerverrel, ami gyanús forgalmat is elkerülte.
A ransomware háromféle titkosítási módot kínál: teljes titkosítás, csak fejléc titkosítás, illetve egyedi struktúrájú rendszer, amely gyors, de kevésbé alapos beavatkozást tesz lehetővé. A fájlrendszerben determinisztikus módon generál neveket az általa létrehozott titkosított fájloknak (pl. e47qfsnz2trbkhnt.devman), és feltűnő, hogy a váltságdíjas fájlok is ugyanígy viselkednek.
A DEVMAN az úgynevezett Restart Manager API segítségével felülírja aktív, rendszerfájlokat, például az NTUSER.DAT-ot, és a fájlzárolási védelmeket kijátssza. A program mutexeket használ a saját példányának koordinálására; ezek adott mintázattal ismétlődnek, amelyekből IOC‑kat (indikátorokat) lehet levezetni.
