DeepBlueMagic Ransomware

DeepBlueMagic wydaje się być nowo utworzonym gangiem w środowisku ransomware. Działania grupy zostały po raz pierwszy wykryte przez badaczy infosec z Heimdal Security. Analiza wdrożonego zagrożenia ransomware ujawniła kilka bardzo osobliwych cech, które odróżniają DeepBlueMagic od typowych zagrożeń ransomware.

Unikalne zachowanie

Na początek grupa wykorzystuje legalny program do szyfrowania dysków innej firmy o nazwie „BestCrypt Volume Encryption” do procesu szyfrowania. Zamiast skupiać się na pojedynczych plikach, DeepBlueMagic blokuje całe dyski podłączone do zaatakowanego serwera. Jednak dysk systemowy C pozostał nienaruszony i dostępny. Zawiera narzędzie szyfrujące i jego plik ratunkowy „rescue.rsc”. Zwykle plik ten może być używany do odzyskiwania partycji zaszyfrowanych przez narzędzie w przypadku nieoczekiwanych problemów. Jednak plik „rescue.rsc” pozostawiony przez DeepBlueMagic jest bezużyteczny, ponieważ został zaszyfrowany przez własny program i wymaga otwarcia klucza.

Należy zauważyć, że proces szyfrowania jest inicjowany przez BestCrypt Volume Encryption, a następnie natychmiast zatrzymywany. Oznacza to, że blokowany jest nie cały dysk, ale tylko nagłówki. Mimo to, partycje, których dotyczy problem, zostaną rozpoznane przez system jako w formacie RAW i bezużyteczne.

Dodatkowe możliwości

Przed rozpoczęciem procesu szyfrowania DeepBlueMagic musi przygotować środowisko na zainfekowanych systemach. Obejmuje to wyłączenie wszystkich usług Windows innych firm wykrytych na komputerze. Takie postępowanie gwarantuje, że żadne oprogramowanie zabezpieczające oparte na analizie behawioralnej nie pozostanie uruchomione, ponieważ pozostawienie takich programów aktywnych spowodowałoby natychmiastowe wykrycie niebezpiecznych działań i ich późniejsze zablokowanie.

Następnym krokiem wykonywanym przez DeepBlueMagic jest usunięcie kopii zapasowych Volume Shadow Copy utworzonych przez system Windows. Pozostawienie ich oznaczałoby, że użytkownicy mogliby potencjalnie odzyskać zablokowane dane bez konieczności ingerencji cyberprzestępców. Aby uniemożliwić ekspertom zdobycie próbki zagrożenia, złośliwe oprogramowanie samoczynnie usuwa swój plik z zainfekowanego urządzenia, pozostawiając jedynie legalne narzędzie szyfrujące i żądanie okupu w postaci pliku tekstowego o nazwie „Hello world”. Plik z notatkami jest tworzony na pulpicie systemu. Pełny tekst wiadomości to:

Witam. Dysk twardy serwera Twojej firmy został przez nas zaszyfrowany.

Używamy najbardziej złożonego algorytmu szyfrowania (AES256). Tylko my możemy odszyfrować.

Skontaktuj się z nami: [adres e-mail 1]

(Sprawdź spam, unikaj brakujących wiadomości)

Kod identyfikacyjny: ******** (Proszę podać kod identyfikacyjny)

Skontaktuj się z nami, a poinformujemy Cię o wysokości okupu i sposobie zapłaty.

(Jeśli kontakt jest szybki, udzielimy Ci rabatu.)

Po pomyślnym dokonaniu płatności podamy hasło odszyfrowania.

Abyście w nas uwierzyli, przygotowaliśmy serwer testowy. Skontaktuj się z nami, a poinformujemy serwer testowy i odszyfrujemy hasło.

Nie skanuj zaszyfrowanych dysków twardych ani nie próbuj odzyskać danych. Zapobiegaj uszkodzeniu danych.

!!!

Jeśli nie odpowiemy. Skontaktuj się z alternatywną skrzynką pocztową: [adres e-mail 2]

Alternatywną skrzynkę pocztową włączymy tylko wtedy, gdy pierwsza skrzynka pocztowa nie działa poprawnie. '