DeepBlueMagic Ransomware

DeepBlueMagic изглежда е новосъздадена банда в пейзажа на ransomware. Операциите на групата бяха взети за първи път от изследователите на инфосек от Heimdal Security. Анализът на внедрената заплаха от ransomware разкри някои много особени характеристики, които отличават DeepBlueMagic от типичните заплахи за ransomware.

Уникално поведение

Като начало, групата използва легитимна програма за шифроване на дискове на трети страни, наречена „BestCrypt Volume Encryption“ за своя процес на криптиране. Вместо да се фокусира върху отделни файлове, DeepBlueMagic заключва цели дискови устройства, свързани към компрометирания сървър. Системният диск C обаче беше оставен непокътнат и достъпен. Той хоства инструмента за криптиране и неговия спасителен файл „rescue.rsc“. Обикновено този файл може да се използва за възстановяване на дялове, криптирани от инструмента, в случай на неочаквани проблеми. Файлът 'rescue.rsc', оставен от DeepBlueMagic, е неизползваем, защото е криптиран от собствена програма и изисква отваряне на ключ.

Трябва да се отбележи, че процесът на шифроване се инициира чрез BestCrypt Volume Encryption и след това веднага се спира. Това означава, че не целият диск се заключва, а само заглавките. Все пак засегнатите дялове ще бъдат разпознати от системата като RAW формат и неизползваеми.

Допълнителни възможности

Преди да започне процесът на шифроване, DeepBlueMagic трябва да подготви средата на заразените системи. Това включва деактивиране на всички услуги на Window на трети страни, открити на компютъра. Това гарантира, че няма да остане работещ софтуер за сигурност, базиран на поведенчески анализ, тъй като оставянето на такива програми в действие би довело до незабавно откриване на заплашващите дейности и последващото им блокиране.

Следващата стъпка, извършена от DeepBlueMagic, е да изтриете резервните копия на Volume Shadow Copy, създадени от Windows. Оставянето им би означавало, че потребителите потенциално биха могли да възстановят заключените данни, без да се нуждаят от въвеждане от киберпрестъпниците. За да попречи на експертите да се докоснат до извадка от заплахата, зловредният софтуер самостоятелно изтрива файла си на заразеното устройство, оставяйки след себе си само легитимния инструмент за криптиране и бележка за откуп под формата на текстов файл, наречен „Hello world“. Файлът с бележки се създава на Dekstop на системата. Пълният текст на съобщението е:

' Здравейте. Сървърният диск на вашата компания е криптиран от нас.

Използваме най -сложния алгоритъм за криптиране (AES256). Само ние можем да дешифрираме.

Моля, свържете се с нас: [имейл адрес 1]

(Моля, проверете спама, избягвайте липсващата поща)

Идентификационен код: ******** (Моля, кажете ни идентификационния код)

Моля, свържете се с нас и ние ще ви кажем размера на откупа и как да платите.

(Ако контактът е бърз, ще ви дадем отстъпка.)

След като плащането е успешно, ще ви кажем паролата за декриптиране.

За да повярвате в нас, ние сме подготвили тестовия сървър. Моля, свържете се с нас и ние ще кажем на тестовия сървър и ще дешифрираме паролата.

Моля, не сканирайте криптирани твърди дискове и не се опитвайте да възстановите данни. Предотвратете повреда на данни.

!!!

Ако не отговорим. Моля, свържете се с алтернативна пощенска кутия: [имейл адрес 2]

Ще активираме алтернативната пощенска кутия само ако първата пощенска кутия не работи правилно. '