DeepBlueMagic Ransomware
डीपब्लूमैजिक रैंसमवेयर परिदृश्य में एक नया स्थापित गिरोह प्रतीत होता है। समूह के संचालन को सबसे पहले हेमडल सुरक्षा में इन्फोसेक शोधकर्ताओं द्वारा उठाया गया था। तैनात रैंसमवेयर खतरे के विश्लेषण से कुछ बहुत ही अजीबोगरीब विशेषताओं का पता चला है जो डीपब्लूमैजिक को विशिष्ट रैंसमवेयर खतरों से अलग करती हैं।
अद्वितीय व्यवहार
शुरुआत के लिए, समूह अपनी एन्क्रिप्शन प्रक्रिया के लिए 'बेस्ट क्रिप्ट वॉल्यूम एन्क्रिप्शन' नामक एक वैध तृतीय-पक्ष डिस्क एन्क्रिप्शन प्रोग्राम को नियोजित करता है। व्यक्तिगत फ़ाइलों पर ध्यान केंद्रित करने के बजाय, डीपब्लूमैजिक समझौता किए गए सर्वर से जुड़ी संपूर्ण डिस्क ड्राइव को लॉक कर देता है। हालाँकि, सिस्टम डिस्क C को बरकरार और सुलभ छोड़ दिया गया था। यह एन्क्रिप्शन उपकरण और इसकी बचाव फ़ाइल 'rescue.rsc' को होस्ट करता है। आम तौर पर, अप्रत्याशित समस्याओं के मामले में, इस फ़ाइल का उपयोग उपकरण द्वारा एन्क्रिप्ट किए गए विभाजन को पुनर्प्राप्त करने के लिए किया जा सकता है। हालाँकि, डीपब्लूमैजिक द्वारा छोड़ी गई 'rescue.rsc' फ़ाइल अनुपयोगी है क्योंकि इसे अपने स्वयं के प्रोग्राम द्वारा एन्क्रिप्ट किया गया था और इसे खोलने के लिए एक कुंजी की आवश्यकता होती है।
यह ध्यान दिया जाना चाहिए कि एन्क्रिप्शन प्रक्रिया बेस्टक्रिप्ट वॉल्यूम एन्क्रिप्शन के माध्यम से शुरू की जाती है और फिर तुरंत बंद हो जाती है। इसका मतलब है कि पूरी डिस्क लॉक नहीं होती है बल्कि सिर्फ हेडर होते हैं। फिर भी, प्रभावित विभाजन को सिस्टम द्वारा RAW प्रारूप में और अनुपयोगी होने के लिए पहचाना जाएगा।
अतिरिक्त क्षमताएं
एन्क्रिप्शन प्रक्रिया शुरू होने से पहले, डीपब्लूमैजिक को संक्रमित सिस्टम पर वातावरण तैयार करना चाहिए। इसमें कंप्यूटर पर खोजी गई सभी तृतीय-पक्ष विंडो सेवाओं को अक्षम करना शामिल है। ऐसा करने से यह सुनिश्चित होता है कि व्यवहार विश्लेषण पर आधारित कोई भी सुरक्षा सॉफ्टवेयर चालू नहीं रहेगा क्योंकि ऐसे कार्यक्रमों को सक्रिय छोड़ने से खतरनाक गतिविधियों का तुरंत पता चल जाएगा और बाद में उन्हें ब्लॉक कर दिया जाएगा।
डीपब्लूमैजिक द्वारा किया गया अगला कदम विंडोज द्वारा बनाए गए वॉल्यूम शैडो कॉपी बैकअप को हटाना है। उन्हें छोड़ने का मतलब होगा कि उपयोगकर्ता संभावित रूप से साइबर अपराधियों से किसी इनपुट की आवश्यकता के बिना लॉक किए गए डेटा को पुनर्स्थापित करने में सक्षम हो सकते हैं। विशेषज्ञों को खतरे के नमूने पर अपना हाथ रखने से रोकने के लिए, मैलवेयर संक्रमित डिवाइस पर अपनी फ़ाइल को स्वयं हटा देता है, केवल वैध एन्क्रिप्शन टूल और 'हैलो वर्ल्ड' नामक टेक्स्ट फ़ाइल के रूप में एक फिरौती नोट को पीछे छोड़ देता है। नोट-बेयरिंग फ़ाइल सिस्टम के डेकस्टॉप पर बनाई जाती है। संदेश का पूरा पाठ है:
' नमस्कार। आपकी कंपनी की सर्वर हार्ड ड्राइव को हमारे द्वारा एन्क्रिप्ट किया गया था।
हम सबसे जटिल एन्क्रिप्शन एल्गोरिथम (AES256) का उपयोग करते हैं। केवल हम ही डिक्रिप्ट कर सकते हैं।
कृपया हमसे संपर्क करें: [ईमेल पता 1]
(कृपया स्पैम की जांच करें, गुम मेल से बचें)
पहचान कोड: ********* (कृपया हमें पहचान कोड बताएं)
कृपया हमसे संपर्क करें और हम आपको बताएंगे कि फिरौती की राशि और भुगतान कैसे करना है।
(यदि संपर्क तेज है, तो हम आपको छूट देंगे।)
भुगतान सफल होने के बाद, हम डिक्रिप्ट पासवर्ड बताएंगे।
आपको हम पर विश्वास करने के लिए, हमने परीक्षण सर्वर तैयार किया है। कृपया हमसे संपर्क करें और हम परीक्षण सर्वर को बताएंगे और पासवर्ड को डिक्रिप्ट करेंगे।
कृपया एन्क्रिप्टेड हार्ड ड्राइव को स्कैन न करें या डेटा पुनर्प्राप्त करने का प्रयास न करें। डेटा भ्रष्टाचार को रोकें।
!!!
अगर हम जवाब नहीं देते हैं। कृपया किसी वैकल्पिक मेलबॉक्स से संपर्क करें: [ईमेल पता २]
हम वैकल्पिक मेलबॉक्स को तभी सक्षम करेंगे जब पहला मेलबॉक्स ठीक से काम नहीं कर रहा हो। '
