DeepBlueMagic 랜섬웨어

DeepBlueMagic은 랜섬웨어 환경에서 새로 설립된 갱으로 보입니다. 그룹의 작업은 Heimdal Security의 정보 보안 연구원이 처음으로 파악했습니다. 배포된 랜섬웨어 위협을 분석한 결과 DeepBlueMagic을 일반적인 랜섬웨어 위협과 차별화하는 몇 가지 매우 독특한 특성이 드러났습니다.

독특한 행동

우선, 이 그룹은 암호화 프로세스를 위해 'BestCrypt Volume Encryption'이라는 합법적인 타사 디스크 암호화 프로그램을 사용합니다. 개별 파일에 집중하는 대신 DeepBlueMagic은 손상된 서버에 연결된 전체 디스크 드라이브를 잠급니다. 그러나 시스템 디스크 C는 그대로 유지되어 액세스할 수 있습니다. 암호화 도구와 복구 파일 'rescue.rsc'를 호스팅합니다. 일반적으로 이 파일은 예기치 않은 문제가 발생한 경우 도구로 암호화된 파티션을 복구하는 데 사용할 수 있습니다. 그러나 DeepBlueMagic이 남긴 'rescue.rsc' 파일은 자체 프로그램으로 암호화되어 있어 키를 열어야 하므로 사용할 수 없습니다.

암호화 프로세스는 BestCrypt 볼륨 암호화를 통해 시작된 다음 즉시 중지됩니다. 즉, 전체 디스크가 잠기는 것이 아니라 헤더만 잠깁니다. 그러나 영향을 받는 파티션은 시스템에서 RAW 형식으로 인식되어 사용할 수 없습니다.

추가 기능

암호화 프로세스가 시작되기 전에 DeepBlueMagic은 감염된 시스템에서 환경을 준비해야 합니다. 여기에는 컴퓨터에서 검색된 모든 타사 Window 서비스를 비활성화하는 작업이 포함됩니다. 그렇게 하면 행동 분석을 기반으로 하는 보안 소프트웨어가 실행되지 않도록 합니다. 이러한 프로그램을 활성 상태로 두면 위협적인 활동을 즉시 감지하고 후속 차단을 하게 되기 때문입니다.

DeepBlueMagic이 수행하는 다음 단계는 Windows에서 생성된 볼륨 섀도 복사본 백업을 삭제하는 것입니다. 그대로 두는 것은 사용자가 잠재적으로 사이버 범죄자의 입력 없이 잠긴 데이터를 복원할 수 있음을 의미합니다. 전문가가 위협 샘플을 손에 넣지 못하도록 멀웨어는 감염된 장치에서 파일을 자체 삭제하고 합법적인 암호화 도구와 'Hello world'라는 텍스트 파일 형식의 몸값 메모만 남깁니다. 메모가 포함된 파일은 시스템의 Dekstop에 생성됩니다. 메시지의 전체 텍스트는 다음과 같습니다.

' 안녕하세요. 귀사의 서버 하드 드라이브가 당사에 의해 암호화되었습니다.

가장 복잡한 암호화 알고리즘(AES256)을 사용합니다. 우리만이 해독할 수 있습니다.

저희에게 연락하십시오: [이메일 주소 1]

(스팸메일 확인, 메일 누락 방지)

식별 코드: ******** (식별 코드를 알려주십시오)

저희에게 연락주시면 몸값과 지불 방법을 알려드리겠습니다.

(빠른 연락을 주시면 할인해 드립니다.)

결제가 성공하면 암호 해독을 알려드립니다.

저희를 믿으실 수 있도록 테스트 서버를 준비했습니다. 연락주시면 테스트 서버에 알려드리고 비밀번호를 복호화 해드리겠습니다.

암호화된 하드 드라이브를 스캔하거나 데이터 복구를 시도하지 마십시오. 데이터 손상을 방지합니다.

!!!

우리가 응답하지 않는 경우. 다른 사서함에 문의하십시오: [이메일 주소 2]

첫 번째 사서함이 제대로 작동하지 않는 경우에만 대체 사서함을 활성화합니다. '