DeepBlueMagic Ransomware

DeepBlueMagic Ransomware Описание

DeepBlueMagic выглядит недавно созданной бандой в сфере программ-вымогателей. Операции группы были впервые обнаружены исследователями информационной безопасности из Heimdal Security. Анализ развернутой угрозы вымогателей выявил некоторые очень специфические характеристики, которые отличают DeepBlueMagic от типичных угроз вымогателей.

Уникальное поведение

Для начала группа использует законную стороннюю программу шифрования дисков под названием «BestCrypt Volume Encryption» для своего процесса шифрования. Вместо того, чтобы сосредоточиться на отдельных файлах, DeepBlueMagic блокирует все диски, подключенные к взломанному серверу. Однако системный диск C остался нетронутым и доступным. На нем размещается инструмент шифрования и его спасательный файл rescue.rsc. Обычно этот файл можно использовать для восстановления разделов, зашифрованных инструментом, в случае непредвиденных проблем. Однако оставленный DeepBlueMagic файл rescue.rsc непригоден для использования, поскольку он был зашифрован его собственной программой и требует открытия ключа.

Следует отметить, что процесс шифрования инициируется с помощью BestCrypt Volume Encryption, а затем немедленно останавливается. Это означает, что блокируется не весь диск, а только заголовки. Тем не менее, система распознает затронутые разделы как имеющие формат RAW и непригодные для использования.

Дополнительные возможности

Перед запуском процесса шифрования DeepBlueMagic должен подготовить среду в зараженных системах. Это включает в себя отключение всех сторонних служб Windows, обнаруженных на компьютере. Это гарантирует, что никакое программное обеспечение безопасности, основанное на поведенческом анализе, не останется запущенным, поскольку оставление таких программ активными приведет к немедленному обнаружению угрожающих действий и их последующей блокировке.

Следующим шагом DeepBlueMagic является удаление резервных копий теневого копирования тома, созданных Windows. Их оставление означало бы, что пользователи потенциально могли бы восстановить заблокированные данные без каких-либо действий со стороны киберпреступников. Чтобы эксперты не смогли получить образец угрозы, вредоносная программа самостоятельно удаляет свой файл на зараженном устройстве, оставляя после себя только законный инструмент шифрования и записку о выкупе в виде текстового файла с именем Hello world. Файл-носитель создается на декстопе системы. Полный текст сообщения:

« Здравствуйте. Жесткий диск сервера вашей компании был зашифрован нами.

Мы используем самый сложный алгоритм шифрования (AES256). Только мы можем расшифровать.

Свяжитесь с нами: [адрес электронной почты 1]

(Пожалуйста, проверьте спам, избегайте пропуска почты)

Идентификационный код: ******** (Сообщите нам идентификационный код)

Свяжитесь с нами, и мы сообщим вам сумму выкупа и способ оплаты.

(Если контакт будет быстрым, мы сделаем вам скидку.)

После успешной оплаты мы сообщим пароль для расшифровки.

Чтобы вы в нас поверили, мы подготовили тестовый сервер. Свяжитесь с нами, и мы сообщим тестовый сервер и расшифруем пароль.

Пожалуйста, не сканируйте зашифрованные жесткие диски и не пытайтесь восстановить данные. Предотвратить повреждение данных.

!!!

Если мы не ответим. Свяжитесь с альтернативным почтовым ящиком: [адрес электронной почты 2]

Мы включим альтернативный почтовый ящик, только если первый почтовый ящик не работает должным образом. '