DeepBlueMagic 勒索軟件

DeepBlueMagic 勒索軟件說明

DeepBlueMagic 似乎是勒索軟件領域中一個新成立的團伙。該小組的運作首先由 Heimdal Security 的信息安全研究人員掌握。對部署的勒索軟件威脅的分析揭示了一些非常特殊的特徵,這些特徵使 DeepBlueMagic 與典型的勒索軟件威脅區分開來。

獨特的行為

首先,該組織使用名為“BestCrypt Volume Encryption”的合法第三方磁盤加密程序進行加密。 DeepBlueMagic 不是專注於單個文件,而是鎖定連接到受感染服務器的整個磁盤驅動器。但是,系統盤 C 保持完整且可訪問。它託管加密工具及其救援文件“rescue.rsc”。通常,此文件可用於恢復由該工具加密的分區,以防出現意外問題。但是,DeepBlueMagic 留下的“rescue.rsc”文件無法使用,因為它是由自己的程序加密的,需要密鑰才能打開。

需要注意的是,加密過程是通過 BestCrypt Volume Encryption 啟動的,然後立即停止。這意味著不是整個磁盤都被鎖定,而只是標題。儘管如此,受影響的分區仍會被系統識別為 RAW 格式且無法使用。

附加功能

在加密過程開始之前,DeepBlueMagic 必須在受感染系統上準備環境。這涉及禁用在計算機上發現的所有第三方 Window 服務。這樣做可確保基於行為分析的安全軟件不會繼續運行,因為讓此類程序保持活動狀態將導致立即檢測到威脅活動並隨後阻止它們。

DeepBlueMagic 執行的下一步是刪除 Windows 創建的捲影複製備份。離開它們意味著用戶可能無需網絡犯罪分子的任何輸入即可恢復鎖定的數據。為了防止專家獲取威脅樣本,惡意軟件會自行刪除受感染設備上的文件,只留下合法的加密工具和名為“Hello world”的文本文件形式的贖金記錄。記事文件是在系統的桌面上創建的。郵件全文如下:

'你好。貴公司的服務器硬盤由我們加密。

我們使用最複雜的加密算法(AES256)。只有我們可以解密。

請聯繫我們:[電子郵件地址1]

(請檢查垃圾郵件,避免丟失郵件)

識別碼:********(請告訴我們識別碼)

請聯繫我們,我們會告訴您贖金的金額和支付方式。

(如果聯繫快,我們會給你優惠。)

支付成功後,我們會告訴解密密碼。

為了讓您相信我們,我們準備了測試服務器。請聯繫我們,我們會告訴測試服務器並解密密碼。

請不要掃描加密的硬盤驅動器或嘗試恢復數據。防止數據損壞。

!!!

如果我們不回應。請聯繫備用郵箱:[電子郵件地址 2]

僅當第一個郵箱無法正常工作時,我們才會啟用備用郵箱。 '