DeepBlueMagic Ransomware udfører angreb gennem et tredjeparts krypteringsværktøj

DeepBlueMagic ser ud til at være en ny ransomware -bande, som i øjeblikket kompromitterer systemer, der kører Windows Server 2012 R2. Den nøjagtige infektionsvektor, som de kriminelle stoler på, er ikke klar, og desværre har det også vist sig at være svært at analysere deres nyttelast. Grunden til dette er, at DeepBlueMagic Ransomware bruger et tredjepartsværktøj til at kryptere offerets data, og det sletter den oprindelige nyttelast, så snart angrebet begynder.

Modus operandi for DeepBlueMagic Ransomware er meget interessant, og meget få fillåse fungerer på samme måde. I stedet for at kryptere individuelle filer, krypterer denne ransomware hele partitioner og drev - den springer kun C: \ system -drevet over. Denne foranstaltning er ikke ualmindelig, da de kriminelle ønsker, at offeret kan starte deres systemer op.

Naturligvis er forfatterne af DeepBlueMagic Ransomware efter et løsepengegebyr - deres krav er beskrevet i løsepengebeskeden 'Hello Word'. Den seddel, de efterlader, ser ud til at være skræddersyet individuelt til hvert offer, så det er sandsynligt, at de kriminelle muligvis udfører ransomware manuelt. En anden kendsgerning, der understøtter dette argument, er, at de inficerede systemer blev grundigt renset for spor.

Hvordan angriber DeepBlueMagic Ransomware?

Når denne ransomware kører, bruger den et tredjeparts filkrypteringsværktøj kaldet BestCrypt Volume Encryption. Dette er et legitimt værktøj, men kriminelle bruger det med ondsindet hensigt. Dette værktøj kan kryptere hele partitioner/drev, og aktørerne gør brug af denne nøjagtige funktion. DeepBlueMagic Ransomware udfører dog også nogle ekstra opgaver:

• Det stopper alle tredjepartsapps og Windows-tjenester for at sikre, at alle data krypteres sikkert med minimale problemer.
• Ransomware forsøger at stoppe antivirusprodukter og -værktøjer.
• Det sletter kopier af Shadow Volume og deaktiverer Systemgendannelsestjenesten.

En sære egenskab ved DeepBlueMagic Ransomware er, at det værktøj, det bruger til at kryptere filer, normalt giver en gendannelsesmulighed - filen 'rescue.rsc.' Oprindeligt hjælper denne fil brugerne med at gendanne deres drev i tilfælde af utilsigtet kryptering. Desværre sørger DeepBlueMagic Ransomware for, at denne fil ikke er tilgængelig, og eliminerer derfor offerets eneste mulighed for datagendannelse.

Ofre for DeepBlueMagic -banden kan muligvis komme sig

Ikke overraskende er forfatterne af DeepBlueMagic Ransomware efter offerets penge. Deres løsesum kræver en løsesum betaling via kryptokurrency. Vi forsikrer dig om, at betaling er en frygtelig idé - de kriminelle kan lure dig let. Den bedste måde at fortsætte på er at gendanne de tabte filer fra en sikkerhedskopi. Der kan dog være et alternativ.

Cybersikkerhedseksperter, der eksperimenterede med DeepBlueMagic Ransomware, rapporterer, at dets kryptering ikke var komplet. I stedet for at kryptere hele drevet, manipulerede værktøjet kun med volumenoverskrifter og stoppede derefter processen. Desværre er dette stadig nok til at forårsage masser af skader. Men ved at køre lignende drev-krypteringssoftware og stoppe krypteringsopgaven, så snart den initialiseres, er det muligt at gengive det samme resultat som DeepBlueMagic Ransomware. Ved at gøre det kan det være muligt at reverse-manipulere processen og rette de krypterede drev. Det anbefales at søge professionel hjælp til denne genoprettelsesmulighed.