DeepBlueMagic 勒索软件

DeepBlueMagic 勒索软件说明

DeepBlueMagic 似乎是勒索软件领域中一个新成立的团伙。该小组的运作首先由 Heimdal Security 的信息安全研究人员掌握。对部署的勒索软件威胁的分析揭示了一些非常特殊的特征,这些特征使 DeepBlueMagic 与典型的勒索软件威胁区分开来。

独特的行为

首先,该组织使用名为“BestCrypt Volume Encryption”的合法第三方磁盘加密程序进行加密过程。 DeepBlueMagic 不是专注于单个文件,而是锁定连接到受感染服务器的整个磁盘驱动器。但是,系统盘 C 保持完整且可访问。它托管加密工具及其救援文件“rescue.rsc”。通常,此文件可用于恢复由该工具加密的分区,以防出现意外问题。但是,DeepBlueMagic 留下的“rescue.rsc”文件无法使用,因为它是由自己的程序加密的,需要密钥才能打开。

需要注意的是,加密过程是通过 BestCrypt Volume Encryption 启动的,然后立即停止。这意味着不是整个磁盘都被锁定,而只是标题。尽管如此,受影响的分区仍会被系统识别为 RAW 格式且无法使用。

附加功能

在加密过程开始之前,DeepBlueMagic 必须在受感染系统上准备环境。这涉及禁用在计算机上发现的所有第三方 Window 服务。这样做可确保基于行为分析的安全软件不会继续运行,因为让此类程序保持活动状态将导致立即检测到威胁活动并随后阻止它们。

DeepBlueMagic 执行的下一步是删除 Windows 创建的卷影复制备份。离开它们意味着用户可能能够恢复锁定的数据,而无需网络犯罪分子的任何输入。为了防止专家获取威胁样本,恶意软件会自行删除受感染设备上的文件,只留下合法的加密工具和名为“Hello world”的文本文件形式的赎金记录。记事文件是在系统的桌面上创建的。邮件全文如下:

'你好。贵公司的服务器硬盘由我们加密。

我们使用最复杂的加密算法(AES256)。只有我们可以解密。

请联系我们:[电子邮件地址1]

(请检查垃圾邮件,避免丢失邮件)

识别码:********(请告诉我们识别码)

请联系我们,我们会告诉您赎金的金额和支付方式。

(如果联系快,我们会给你优惠。)

支付成功后,我们会告诉解密密码。

为了让您相信我们,我们准备了测试服务器。请联系我们,我们会告诉测试服务器并解密密码。

请不要扫描加密的硬盘驱动器或尝试恢复数据。防止数据损坏。

!!!

如果我们不回应。请联系备用邮箱:[电子邮件地址 2]

仅当第一个邮箱无法正常工作时,我们才会启用备用邮箱。 '