DeepBlueMagic Ransomware ejecuta ataques a través de una herramienta de cifrado de terceros

DeepBlueMagic parece ser una nueva banda de ransomware, que actualmente está comprometiendo los sistemas que ejecutan Windows Server 2012 R2. El vector de infección exacto en el que confían los delincuentes no está claro y, desafortunadamente, analizar su carga útil también ha demostrado ser difícil. La razón de esto es que DeepBlueMagic Ransomware utiliza una utilidad de terceros para cifrar los datos de la víctima y elimina la carga útil original tan pronto como comienza el ataque.

El modus operandi de DeepBlueMagic Ransomware es muy interesante, y muy pocos archivadores funcionan de manera similar. En lugar de cifrar archivos individuales, este ransomware cifra particiones y unidades completas; solo omite la unidad C: \ system. Esta medida no es infrecuente ya que los delincuentes quieren que la víctima pueda iniciar sus sistemas.

Por supuesto, los autores de DeepBlueMagic Ransomware buscan una tarifa de rescate; sus demandas se describen en el mensaje de rescate 'Hola Palabra'. La nota que dejan parece estar diseñada individualmente para cada víctima, por lo que es probable que los delincuentes estén ejecutando el ransomware manualmente. Otro hecho que respalda este argumento es que los sistemas infectados se limpiaron a fondo de cualquier rastro.

¿Cómo ataca DeepBlueMagic Ransomware?

Cuando se ejecuta este ransomware, utiliza una utilidad de cifrado de archivos de terceros llamada BestCrypt Volume Encryption. Esta es una herramienta legítima, pero los delincuentes la utilizan con intenciones malintencionadas. Esta utilidad puede cifrar particiones / unidades enteras, y los actores están haciendo uso de esta característica exacta. Sin embargo, DeepBlueMagic Ransomware también realiza algunas tareas adicionales:

• Detiene las aplicaciones de terceros y los servicios de Windows para asegurarse de que todos los datos se cifren de forma segura, con problemas mínimos.
• El ransomware intenta detener los productos y herramientas antivirus.
• Elimina las instantáneas de volumen y desactiva el servicio de restauración del sistema.

Una peculiaridad peculiar de DeepBlueMagic Ransomware es que la utilidad que utiliza para cifrar archivos generalmente proporciona una opción de recuperación: el archivo 'rescue.rsc'. Originalmente, este archivo ayuda a los usuarios a recuperar sus unidades en caso de cifrado accidental. Desafortunadamente, DeepBlueMagic Ransomware se asegura de que este archivo no esté disponible, lo que elimina la única opción de recuperación de datos de la víctima.

Las víctimas de la pandilla DeepBlueMagic podrían recuperarse

Como era de esperar, los autores de DeepBlueMagic Ransomware buscan el dinero de la víctima. Su nota de rescate exige un pago de rescate a través de criptomonedas. Le aseguramos que pagar es una idea terrible: los delincuentes pueden estafarlo fácilmente. La mejor forma de proceder sería recuperar los archivos perdidos de una copia de seguridad. Sin embargo, puede haber una alternativa disponible.

Los expertos en ciberseguridad que experimentaron con DeepBlueMagic Ransomware informan que su cifrado no estaba completo. En lugar de cifrar la totalidad de la unidad, la utilidad solo manipuló los encabezados de volumen y luego detuvo el proceso. Desafortunadamente, esto todavía es suficiente para causar muchos daños. Sin embargo, al ejecutar un software de cifrado de unidades similar y detener la tarea de cifrado tan pronto como se inicialice, es posible reproducir el mismo resultado que DeepBlueMagic Ransomware. Al hacerlo, podría ser posible realizar ingeniería inversa en el proceso y reparar las unidades encriptadas. Se recomienda buscar asistencia profesional para esta opción de recuperación.