DeepBlueMagic Ransomware

DeepBlueMagic, fidye yazılımı ortamında yeni kurulmuş bir çete gibi görünüyor. Grubun operasyonları ilk olarak Heimdal Security'deki bilgi güvenliği araştırmacıları tarafından ele geçirildi. Dağıtılan fidye yazılımı tehdidinin analizi, DeepBlueMagic'i tipik fidye yazılımı tehditlerinden ayıran bazı çok tuhaf özellikleri ortaya çıkardı.

Benzersiz Davranış

Yeni başlayanlar için grup, şifreleme işlemi için 'BestCrypt Volume Encryption' adlı meşru bir üçüncü taraf disk şifreleme programı kullanır. DeepBlueMagic, tek tek dosyalara odaklanmak yerine, güvenliği ihlal edilmiş sunucuya bağlı tüm disk sürücülerini kilitler. Ancak sistem diski C bozulmadan ve erişilebilir durumda kaldı. Şifreleme aracını ve kurtarma dosyasını 'rescue.rsc' barındırır. Genellikle bu dosya, beklenmedik sorunlar olması durumunda, araç tarafından şifrelenen bölümleri kurtarmak için kullanılabilir. Ancak DeepBlueMagic tarafından bırakılan 'rescue.rsc' dosyası, kendi programı tarafından şifrelendiği ve açılması için bir anahtar gerektirdiği için kullanılamaz.

Unutulmamalıdır ki şifreleme işlemi BestCrypt Volume Encryption üzerinden başlatılır ve ardından hemen durdurulur. Bu, tüm diskin değil, yalnızca başlıkların kilitlendiği anlamına gelir. Yine de, etkilenen bölümler sistem tarafından RAW biçiminde ve kullanılamaz olarak tanınacaktır.

Ek Yetenekler

Şifreleme işlemi başlatılmadan önce DeepBlueMagic, etkilenen sistemlerde ortamı hazırlamalıdır. Bu, bilgisayarda bulunan tüm üçüncü taraf Pencere hizmetlerinin devre dışı bırakılmasını içerir. Bunu yapmak, davranış analizine dayalı hiçbir güvenlik yazılımının çalışır durumda bırakılmamasını sağlar, çünkü bu tür programları etkin bırakmak, tehdit edici faaliyetlerin anında tespit edilmesine ve ardından engellenmesine neden olur.

DeepBlueMagic tarafından gerçekleştirilen bir sonraki adım, Windows tarafından oluşturulan Birim Gölge Kopyası yedeklerini silmektir. Bunları bırakmak, kullanıcıların siber suçlulardan herhangi bir girdiye ihtiyaç duymadan kilitli verileri potansiyel olarak geri yükleyebilecekleri anlamına gelir. Uzmanların tehdidin bir örneğini ele geçirmesini önlemek için kötü amaçlı yazılım, virüslü cihazdaki dosyasını kendi kendine siler ve ardında yalnızca meşru şifreleme aracını ve 'Merhaba dünya' adlı bir metin dosyası biçiminde bir fidye notu bırakır. Not içeren dosya, sistemin Dekstop'unda oluşturulur. Mesajın tam metni şöyle:

Merhaba. Şirketinizin sunucu sabit diski tarafımızca şifrelenmiştir.

En karmaşık şifreleme algoritmasını (AES256) kullanıyoruz. Sadece biz şifresini çözebiliriz.

Lütfen bizimle iletişime geçin: [e-posta adresi 1]

(Lütfen spam'i kontrol edin, Eksik postalardan kaçının)

Kimlik kodu: ******** (Lütfen bize kimlik kodunu söyleyin)

Lütfen bizimle iletişime geçin, size fidye miktarını ve nasıl ödeme yapacağınızı söyleyeceğiz.

(İletişim hızlıysa, size indirim yapacağız.)

Ödeme başarılı olduktan sonra, şifre çözme şifresini söyleyeceğiz.

Bize inanmanız için test sunucusunu hazırladık. Lütfen bizimle iletişime geçin, test sunucusuna söyleyelim ve şifreyi çözelim.

Lütfen şifrelenmiş sabit sürücüleri taramayın veya verileri kurtarmaya çalışmayın. Veri bozulmasını önleyin.

!!!

Cevap vermezsek. Lütfen alternatif bir posta kutusuyla iletişime geçin: [e-posta adresi 2]

Alternatif posta kutusunu yalnızca ilk posta kutusu düzgün çalışmıyorsa etkinleştireceğiz. '