DeepBlueMagic Ransomware

DeepBlueMagic Ransomware Beskrivning

DeepBlueMagic verkar vara ett nyetablerat gäng i ransomware -landskapet. Gruppens verksamhet plockades först upp av infosec -forskarna vid Heimdal Security. Analys av det utplacerade hotet mot ransomware har avslöjat några mycket speciella egenskaper som skiljer DeepBlueMagic från de typiska ransomware hoten.

Unikt beteende

Till att börja med använder gruppen ett legitimt tredjeparts diskkrypteringsprogram med namnet 'BestCrypt Volume Encryption' för sin krypteringsprocess. I stället för att fokusera på enskilda filer låser DeepBlueMagic hela hårddiskar som är anslutna till den komprometterade servern. Systemskivan C lämnades dock intakt och tillgänglig. Det är värd för krypteringsverktyget och dess räddningsfil 'rescue.rsc.' Vanligtvis kan den här filen användas för att återställa partitioner som är krypterade av verktyget vid oväntade problem. Filen 'rescue.rsc' som DeepBlueMagic lämnar är dock oanvändbar eftersom den var krypterad av sitt eget program och kräver att en nyckel öppnas.

Det bör noteras att krypteringsprocessen initieras via BestCrypt Volymkryptering och stoppas sedan omedelbart. Det betyder att inte hela disken låses utan bara rubrikerna. Ändå kommer de berörda partitionerna att erkännas av systemet för att vara i RAW -format och oanvändbara.

Ytterligare funktioner

Innan krypteringsprocessen startas måste DeepBlueMagic förbereda miljön på de infekterade systemen. Detta innebär att alla fönstertjänster från tredje part som upptäcks på datorn inaktiveras. Genom att göra det säkerställs att ingen säkerhetsprogramvara baserad på beteendeanalys kommer att lämnas igång, eftersom att lämna sådana program aktiva skulle resultera i omedelbar upptäckt av hotfulla aktiviteter och deras efterföljande blockering.

Nästa steg som utförs av DeepBlueMagic är att radera Volume Shadow Copy -säkerhetskopior som skapats av Windows. Att lämna dem skulle innebära att användare eventuellt kan återställa låsta data utan att behöva någon input från cyberkriminella. För att förhindra att experter får tag på ett exempel på hotet raderar skadlig programvara själv filen på den infekterade enheten och lämnar bara det legitima krypteringsverktyget och en lösenanteckning i form av en textfil som heter "Hej världen." Den anteckningsbärande filen skapas på Dekstop i systemet. Hela texten i meddelandet är:

' Hej. Ditt företags serverhårddisk krypterades av oss.

Vi använder den mest komplexa krypteringsalgoritmen (AES256). Bara vi kan dekryptera.

Vänligen kontakta oss: [e -postadress 1]

(Kontrollera spam, undvik att missa e -post)

Identifieringskod: ******** (Vänligen meddela oss identifieringskoden)

Vänligen kontakta oss så berättar vi för lösensumman och hur du betalar.

(Om kontakten är snabb, ger vi dig rabatt.)

När betalningen har lyckats berättar vi för dekrypteringslösenordet.

För att du ska tro på oss har vi förberett testservern. Kontakta oss så berättar vi för testservern och dekrypterar lösenordet.

Skanna inte krypterade hårddiskar eller försök att återställa data. Förhindra datakorruption.

!!!

Om vi inte svarar. Kontakta en annan brevlåda: [e -postadress 2]

Vi aktiverar den alternativa brevlådan endast om den första postlådan inte fungerar korrekt. '