DeepBlueMagic Ransomware

DeepBlueMagic ser ud til at være en nyetableret bande i ransomware -landskabet. Gruppens operationer blev først afhentet af infosec -forskerne ved Heimdal Security. Analyse af den implementerede ransomware -trussel har afsløret nogle meget særegne egenskaber, der adskiller DeepBlueMagic fra de typiske ransomware -trusler.

Unik adfærd

Til at begynde med anvender gruppen et legitimt tredjeparts diskkrypteringsprogram med navnet 'BestCrypt Volume Encryption' til sin krypteringsproces. I stedet for at fokusere på individuelle filer, låser DeepBlueMagic hele diskdrev, der er forbundet til den kompromitterede server. Systemdisk C blev imidlertid efterladt intakt og tilgængelig. Det er vært for krypteringsværktøjet og dets redningsfil 'rescue.rsc.' Normalt kan denne fil bruges til at gendanne partitioner, der er krypteret af værktøjet, i tilfælde af uventede problemer. Filen 'rescue.rsc', som DeepBlueMagic efterlader, er imidlertid ubrugelig, fordi den blev krypteret af sit eget program og kræver, at en nøgle åbnes.

Det skal bemærkes, at krypteringsprocessen startes via BestCrypt Volume Encryption og derefter stoppes med det samme. Det betyder, at ikke hele disken bliver låst, men kun overskrifterne. Alligevel vil de berørte partitioner blive anerkendt af systemet for at være i et RAW -format og ubrugeligt.

Yderligere muligheder

Inden krypteringsprocessen startes, skal DeepBlueMagic forberede miljøet på de inficerede systemer. Dette indebærer deaktivering af alle tredjepartsvinduetjenester, der er fundet på computeren. Hvis du gør det, sikres det, at ingen sikkerhedssoftware baseret på adfærdsanalyse efterlades, da sådanne programmer er aktive, ville resultere i øjeblikkelig opdagelse af de truende aktiviteter og deres efterfølgende blokering.

Det næste trin udført af DeepBlueMagic er at slette Volume Shadow Copy -sikkerhedskopierne oprettet af Windows. At forlade dem ville betyde, at brugere potentielt kunne genoprette de låste data uden at have brug for input fra cyberkriminelle. For at forhindre eksperter i at få fingre i en prøve af truslen, sletter malware selv sin fil på den inficerede enhed og efterlader kun det legitime krypteringsværktøj og en løsesum i form af en tekstfil med navnet 'Hello world'. Den notebærende fil oprettes på systemets Dekstop. Den fulde tekst i meddelelsen er:

' Hej. Din virksomheds serverharddisk blev krypteret af os.

Vi bruger den mest komplekse krypteringsalgoritme (AES256). Kun vi kan dekryptere.

Kontakt os venligst: [e -mail -adresse 1]

(Kontroller venligst spam, Undgå at mangle mail)

Identifikationskode: ******** (Fortæl os identifikationskoden)

Kontakt os venligst, så fortæller vi mængden af løsesum og hvordan du betaler.

(Hvis kontakten er hurtig, giver vi dig rabat.)

Når betalingen er gennemført, fortæller vi dekrypteringsadgangskoden.

For at du kan tro på os, har vi forberedt testserveren. Kontakt os venligst, så fortæller vi testserveren og dekrypterer adgangskoden.

Du må ikke scanne krypterede harddiske eller forsøge at gendanne data. Forhindre datakorruption.

!!!

Hvis vi ikke svarer. Kontakt venligst en anden postkasse: [email address 2]

Vi aktiverer kun den alternative postkasse, hvis den første postkasse ikke fungerer korrekt. '