DeepBlueMagic Ransomware exécute des attaques via un outil de cryptage tiers

DeepBlueMagic semble être un nouveau gang de ransomware, qui compromet actuellement les systèmes exécutant Windows Server 2012 R2. Le vecteur d'infection exact sur lequel les criminels s'appuient n'est pas clair et, malheureusement, l'analyse de leur charge utile s'est également avérée difficile. La raison en est que DeepBlueMagic Ransomware utilise un utilitaire tiers pour crypter les données de la victime, et il supprime la charge utile d'origine dès que l'attaque commence.

Le mode opératoire du DeepBlueMagic Ransomware est très intéressant et très peu de casiers de fichiers fonctionnent de la même manière. Au lieu de crypter des fichiers individuels, ce ransomware crypte des partitions et des lecteurs entiers – il ignore uniquement le lecteur système C:\. Cette mesure n'est pas rare puisque les criminels veulent que la victime puisse démarrer leurs systèmes.

Bien sûr, les auteurs du DeepBlueMagic Ransomware réclament des frais de rançon – leurs demandes sont décrites dans le message de rançon « Hello Word ». La note qu'ils laissent semble être adaptée individuellement à chaque victime, il est donc probable que les criminels exécutent le ransomware manuellement. Un autre fait à l'appui de cet argument est que les systèmes infectés ont été soigneusement nettoyés de toute trace.

Comment le ransomware DeepBlueMagic attaque-t-il ?

Lorsque ce ransomware s'exécute, il utilise un utilitaire de cryptage de fichiers tiers appelé BestCrypt Volume Encryption. Il s'agit d'un outil légitime, mais les criminels l'utilisent avec une intention malveillante. Cet utilitaire peut crypter des partitions / lecteurs entiers, et les acteurs utilisent cette fonctionnalité exacte. Cependant, DeepBlueMagic Ransomware effectue également des tâches supplémentaires :

• Il arrête toutes les applications tierces et les services Windows afin de s'assurer que toutes les données seront cryptées en toute sécurité, avec un minimum de problèmes.
• Le ransomware essaie d'arrêter les produits et outils antivirus.
• Il efface les clichés instantanés de volume et désactive le service de restauration du système.

Une bizarrerie particulière du DeepBlueMagic Ransomware est que l'utilitaire qu'il utilise pour crypter les fichiers fournit généralement une option de récupération - le fichier "rescue.rsc". À l'origine, ce fichier aide les utilisateurs à récupérer leurs disques en cas de cryptage accidentel. Malheureusement, DeepBlueMagic Ransomware s'assure que ce fichier n'est pas disponible, éliminant ainsi la seule option de récupération de données de la victime.

Les victimes du gang DeepBlueMagic pourraient être en mesure de récupérer

Sans surprise, les auteurs du DeepBlueMagic Ransomware recherchent l'argent de la victime. Leur demande de rançon exige un paiement de rançon par crypto-monnaie. Nous vous assurons que payer est une idée terrible – les criminels pourraient vous arnaquer facilement. La meilleure façon de procéder serait de récupérer les fichiers perdus à partir d'une sauvegarde. Cependant, une alternative peut être disponible.

Les experts en cybersécurité qui ont expérimenté DeepBlueMagic Ransomware rapportent que son cryptage n'était pas complet. Au lieu de chiffrer l'intégralité du lecteur, l'utilitaire n'a falsifié que les en-têtes de volume, puis a interrompu le processus. Malheureusement, c'est encore assez pour causer beaucoup de dégâts. Cependant, en exécutant un logiciel de cryptage de lecteur similaire et en arrêtant la tâche de cryptage dès son initialisation, il est possible de reproduire le même résultat que DeepBlueMagic Ransomware. Ce faisant, il pourrait être possible de procéder à une ingénierie inverse du processus et de réparer les lecteurs chiffrés. Il est recommandé de demander l'aide d'un professionnel pour cette option de récupération.