DeepBlueMagic Ransomware führt Angriffe über ein Drittanbieter-Verschlüsselungstool aus

DeepBlueMagic scheint eine neue Ransomware-Gang zu sein, die derzeit Systeme mit Windows Server 2012 R2 kompromittiert. Der genaue Infektionsvektor, auf den sich die Kriminellen verlassen, ist nicht klar und leider hat sich auch die Analyse ihrer Nutzlast als schwierig erwiesen. Der Grund dafür ist, dass die DeepBlueMagic Ransomware ein Drittanbieter-Dienstprogramm verwendet, um die Daten des Opfers zu verschlüsseln und die ursprüngliche Nutzlast löscht, sobald der Angriff beginnt.

Der Modus Operandi der DeepBlueMagic Ransomware ist sehr interessant, und nur sehr wenige File-Locker funktionieren auf ähnliche Weise. Anstatt einzelne Dateien zu verschlüsseln, verschlüsselt diese Ransomware ganze Partitionen und Laufwerke – sie überspringt nur das Systemlaufwerk C:\. Diese Maßnahme ist keine Seltenheit, da die Kriminellen wollen, dass das Opfer ihre Systeme hochfahren kann.

Natürlich sind die Autoren der DeepBlueMagic Ransomware hinter einer Lösegeldforderung her – ihre Forderungen werden in der Lösegeldnachricht „Hello Word“ beschrieben. Die Nachricht, die sie hinterlassen, scheint auf jedes Opfer individuell zugeschnitten zu sein, daher ist es wahrscheinlich, dass die Kriminellen die Ransomware manuell ausführen. Eine weitere Tatsache, die dieses Argument stützt, ist, dass die infizierten Systeme gründlich von jeglichen Spuren befreit wurden.

Wie funktioniert der DeepBlueMagic-Ransomware-Angriff?

Wenn diese Ransomware ausgeführt wird, verwendet sie ein Drittanbieter-Dienstprogramm zur Dateiverschlüsselung namens BestCrypt Volume Encryption. Dies ist ein legitimes Werkzeug, aber Kriminelle verwenden es mit böswilliger Absicht. Dieses Dienstprogramm kann ganze Partitionen/Laufwerke verschlüsseln, und die Akteure nutzen genau diese Funktion. Die DeepBlueMagic Ransomware führt jedoch auch einige zusätzliche Aufgaben aus:

• Es stoppt alle Apps von Drittanbietern und Windows-Dienste, um sicherzustellen, dass alle Daten mit minimalen Problemen sicher verschlüsselt werden.
• Die Ransomware versucht, Antivirenprodukte und -tools zu stoppen.
• Es löscht Schattenvolumenkopien und deaktiviert den Systemwiederherstellungsdienst.

Eine besondere Eigenart der DeepBlueMagic Ransomware ist, dass das Dienstprogramm zum Verschlüsseln von Dateien normalerweise eine Wiederherstellungsoption bietet – die Datei „rescue.rsc“. Ursprünglich hilft diese Datei Benutzern, ihre Laufwerke im Falle einer versehentlichen Verschlüsselung wiederherzustellen. Leider stellt die DeepBlueMagic Ransomware sicher, dass diese Datei nicht verfügbar ist, wodurch die einzige Datenwiederherstellungsoption des Opfers entfällt.

Opfer der DeepBlueMagic-Gang könnten sich erholen

Es überrascht nicht, dass die Autoren der DeepBlueMagic Ransomware hinter dem Geld des Opfers her sind. Ihr Lösegeldschein verlangt eine Lösegeldzahlung durch Kryptowährung. Wir versichern Ihnen, dass das Bezahlen eine schreckliche Idee ist – die Kriminellen könnten Sie mit Leichtigkeit betrügen. Der beste Weg, um fortzufahren, besteht darin, die verlorenen Dateien aus einem Backup wiederherzustellen. Es kann jedoch eine Alternative verfügbar sein.

Cybersicherheitsexperten, die mit DeepBlueMagic Ransomware experimentiert haben, berichten, dass die Verschlüsselung nicht vollständig war. Anstatt das gesamte Laufwerk zu verschlüsseln, hat das Dienstprogramm nur die Volume-Header manipuliert und dann den Vorgang abgebrochen. Leider reicht dies immer noch aus, um viel Schaden anzurichten. Durch Ausführen einer ähnlichen Software zur Laufwerkverschlüsselung und Stoppen der Verschlüsselungsaufgabe, sobald sie initialisiert wird, ist es jedoch möglich, das gleiche Ergebnis wie bei der DeepBlueMagic Ransomware zu reproduzieren. Auf diese Weise ist es möglicherweise möglich, den Prozess zurückzuentwickeln und die verschlüsselten Laufwerke zu reparieren. Es wird empfohlen, für diese Wiederherstellungsoption professionelle Unterstützung in Anspruch zu nehmen.