DeepBlueMagic Ransomware

De DeepBlueMagic lijkt een nieuw opgerichte bende te zijn in het ransomware-landschap. De operaties van de groep werden voor het eerst opgepikt door de infosec-onderzoekers van Heimdal Security. Analyse van de ingezette ransomware-bedreiging heeft een aantal zeer eigenaardige kenmerken aan het licht gebracht die DeepBlueMagic onderscheiden van de typische ransomware-bedreigingen.

Uniek gedrag

Om te beginnen gebruikt de groep een legitiem schijfversleutelingsprogramma van derden genaamd 'BestCrypt Volume Encryption' voor het versleutelingsproces. In plaats van zich te concentreren op afzonderlijke bestanden, vergrendelt DeepBlueMagic volledige schijfstations die zijn aangesloten op de gecompromitteerde server. Systeemschijf C bleef echter intact en toegankelijk. Het herbergt de coderingstool en het reddingsbestand 'rescue.rsc.' Meestal kan dit bestand worden gebruikt om partities te herstellen die door de tool zijn versleuteld, in geval van onverwachte problemen. Het 'rescue.rsc'-bestand dat door DeepBlueMagic is achtergelaten, is echter onbruikbaar omdat het door zijn eigen programma is versleuteld en er een sleutel voor moet worden geopend.

Opgemerkt moet worden dat het coderingsproces wordt gestart via BestCrypt Volume Encryption en vervolgens onmiddellijk wordt gestopt. Dit betekent dat niet de hele schijf wordt vergrendeld, maar alleen de headers. Toch zullen de getroffen partities door het systeem worden herkend als RAW-indeling en onbruikbaar.

Extra mogelijkheden

Voordat het versleutelingsproces wordt gestart, moet DeepBlueMagic de omgeving op de geïnfecteerde systemen voorbereiden. Dit houdt in dat alle Windows-services van derden die op de computer zijn ontdekt, worden uitgeschakeld. Als u dit doet, zorgt u ervoor dat er geen beveiligingssoftware op basis van gedragsanalyse wordt uitgevoerd, aangezien het actief laten van dergelijke programma's zou resulteren in de onmiddellijke detectie van de bedreigende activiteiten en de daaropvolgende blokkering ervan.

De volgende stap die DeepBlueMagic uitvoert, is het verwijderen van de Volume Shadow Copy-back-ups die door Windows zijn gemaakt. Als u ze verlaat, betekent dit dat gebruikers mogelijk de vergrendelde gegevens kunnen herstellen zonder tussenkomst van de cybercriminelen. Om te voorkomen dat experts een voorbeeld van de dreiging in handen krijgen, verwijdert de malware zelf het bestand op het geïnfecteerde apparaat, waarbij alleen de legitieme versleutelingstool en een losgeldbrief in de vorm van een tekstbestand met de naam 'Hallo wereld' achterblijven. Het biljetdragende bestand wordt aangemaakt op de Dekstop van het systeem. De volledige tekst van het bericht is:

' Hallo. De harde schijf van de server van uw bedrijf is door ons versleuteld.

We gebruiken het meest complexe coderingsalgoritme (AES256). Alleen wij kunnen ontcijferen.

Neem dan contact met ons op: [e-mailadres 1]

(Controleer spam, Vermijd ontbrekende e-mail)

Identificatiecode: ****** (Vertel ons de identificatiecode)

Neem contact met ons op en wij vertellen u het bedrag van het losgeld en hoe u moet betalen.

(Als het contact snel is, geven we je een korting.)

Nadat de betaling is gelukt, zullen we het decodeerwachtwoord doorgeven.

Om ervoor te zorgen dat u in ons gelooft, hebben we de testserver voorbereid. Neem contact met ons op en we zullen het de testserver vertellen en het wachtwoord decoderen.

Scan geen versleutelde harde schijven en probeer geen gegevens te herstellen. Voorkom gegevenscorruptie.

!!!

Als we niet reageren. Neem contact op met een alternatieve mailbox: [e-mailadres 2]

We schakelen de alternatieve mailbox alleen in als de eerste mailbox niet goed werkt. '