Το DeepBlueMagic Ransomware εκτελεί επιθέσεις μέσω εργαλείου κρυπτογράφησης τρίτου μέρους

Το DeepBlueMagic φαίνεται να είναι μια νέα συμμορία ransomware, η οποία αυτή τη στιγμή θέτει σε κίνδυνο συστήματα που εκτελούν τον Windows Server 2012 R2. Ο ακριβής φορέας μόλυνσης στον οποίο βασίζονται οι εγκληματίες δεν είναι σαφής και, δυστυχώς, η ανάλυση του ωφέλιμου φορτίου τους αποδείχθηκε επίσης δύσκολη. Ο λόγος για αυτό είναι ότι το DeepBlueMagic Ransomware χρησιμοποιεί ένα βοηθητικό πρόγραμμα τρίτου μέρους για την κρυπτογράφηση των δεδομένων του θύματος και διαγράφει το αρχικό ωφέλιμο φορτίο μόλις ξεκινήσει η επίθεση.

Το modus operandi του DeepBlueMagic Ransomware είναι πολύ ενδιαφέρον και πολύ λίγα αρχεία-θυρίδες λειτουργούν με παρόμοιο τρόπο. Αντί για κρυπτογράφηση μεμονωμένων αρχείων, αυτό το ransomware κρυπτογραφεί ολόκληρα διαμερίσματα και μονάδες δίσκου - παραλείπει μόνο τη μονάδα συστήματος C: \. Αυτό το μέτρο δεν είναι ασυνήθιστο αφού οι εγκληματίες θέλουν το θύμα να μπορεί να εκκινήσει τα συστήματά του.

Φυσικά, οι συντάκτες του DeepBlueMagic Ransomware είναι μετά από αμοιβή λύτρων - οι απαιτήσεις τους περιγράφονται στο μήνυμα λύτρων "Hello Word". Το σημείωμα που αφήνουν φαίνεται να προσαρμόζεται ξεχωριστά για κάθε θύμα, οπότε είναι πιθανό οι εγκληματίες να εκτελούν το ransomware χειροκίνητα. Ένα άλλο γεγονός που υποστηρίζει αυτό το επιχείρημα είναι ότι τα μολυσμένα συστήματα καθαρίστηκαν σχολαστικά από τυχόν ίχνη.

Πώς επιτίθεται το DeepBlueMagic Ransomware;

Όταν εκτελείται αυτό το ransomware, χρησιμοποιεί ένα βοηθητικό πρόγραμμα κρυπτογράφησης αρχείου τρίτου μέρους που ονομάζεται BestCrypt Volume Encryption. Αυτό είναι ένα νόμιμο εργαλείο, αλλά οι εγκληματίες το χρησιμοποιούν με κακόβουλη πρόθεση. Αυτό το βοηθητικό πρόγραμμα μπορεί να κρυπτογραφήσει ολόκληρα διαμερίσματα/μονάδες δίσκου και οι ηθοποιοί κάνουν χρήση αυτής της ακριβούς λειτουργίας. Ωστόσο, το DeepBlueMagic Ransomware εκτελεί επίσης μερικές επιπλέον εργασίες:

• Διακόπτει οποιεσδήποτε εφαρμογές τρίτων κατασκευαστών και υπηρεσίες Windows, προκειμένου να διασφαλιστεί ότι όλα τα δεδομένα θα κρυπτογραφηθούν με ασφάλεια, με ελάχιστα προβλήματα.
• Το ransomware προσπαθεί να σταματήσει τα προϊόντα και τα εργαλεία προστασίας από ιούς.
• Σβήνει τα αντίγραφα τόμου σκιάς και απενεργοποιεί την υπηρεσία επαναφοράς συστήματος.

Ένα περίεργο πλεονέκτημα του DeepBlueMagic Ransomware είναι ότι το βοηθητικό πρόγραμμα που χρησιμοποιεί για την κρυπτογράφηση αρχείων παρέχει συνήθως μια επιλογή ανάκτησης - το αρχείο 'rizgar.rsc'. Αρχικά, αυτό το αρχείο βοηθά τους χρήστες να ανακτήσουν τους δίσκους τους σε περίπτωση τυχαίας κρυπτογράφησης. Δυστυχώς, το DeepBlueMagic Ransomware διασφαλίζει ότι αυτό το αρχείο δεν είναι διαθέσιμο, εξαλείφοντας ως εκ τούτου τη μόνη επιλογή ανάκτησης δεδομένων του θύματος.

Τα θύματα του DeepBlueMagic Gang μπορεί να είναι σε θέση να ανακτήσουν

Δεν αποτελεί έκπληξη το γεγονός ότι οι συντάκτες του DeepBlueMagic Ransomware αναζητούν τα χρήματα του θύματος. Το σημείωμα λύτρων τους απαιτεί πληρωμή λύτρων μέσω κρυπτονομίσματος. Σας διαβεβαιώνουμε ότι η πληρωμή είναι μια φοβερή ιδέα - οι εγκληματίες μπορεί να σας εξαπατήσουν με ευκολία. Ο καλύτερος τρόπος για να προχωρήσετε θα ήταν να ανακτήσετε τα χαμένα αρχεία από ένα αντίγραφο ασφαλείας. Ωστόσο, μπορεί να είναι διαθέσιμη μια εναλλακτική λύση.

Οι ειδικοί στον τομέα της κυβερνοασφάλειας που πειραματίστηκαν με το DeepBlueMagic Ransomware αναφέρουν ότι η κρυπτογράφηση του δεν ήταν πλήρης. Αντί να κρυπτογραφηθεί ολόκληρη η μονάδα δίσκου, το βοηθητικό πρόγραμμα επέβαλε μόνο τις κεφαλίδες έντασης και στη συνέχεια σταμάτησε τη διαδικασία. Δυστυχώς, αυτό είναι ακόμα αρκετό για να προκαλέσει πολλές ζημιές. Ωστόσο, εκτελώντας παρόμοιο λογισμικό κρυπτογράφησης δίσκου και σταματώντας την εργασία κρυπτογράφησης μόλις αρχίσει, είναι δυνατό να αναπαραχθεί το ίδιο αποτέλεσμα με το DeepBlueMagic Ransomware. Με αυτόν τον τρόπο, μπορεί να είναι δυνατή η αντίστροφη μηχανική της διαδικασίας και η επιδιόρθωση των κρυπτογραφημένων μονάδων δίσκου. Συνιστάται να αναζητήσετε επαγγελματική βοήθεια για αυτήν την επιλογή ανάκτησης.