DeepBlueMagic Ransomware esegue attacchi tramite uno strumento di crittografia di terze parti

DeepBlueMagic sembra essere una nuova banda di ransomware, che attualmente sta compromettendo i sistemi che eseguono Windows Server 2012 R2. L'esatto vettore di infezione su cui fanno affidamento i criminali non è chiaro e, sfortunatamente, anche l'analisi del loro carico utile si è rivelata difficile. Il motivo è che DeepBlueMagic Ransomware utilizza un'utilità di terze parti per crittografare i dati della vittima ed elimina il payload originale non appena inizia l'attacco.

Il modus operandi del DeepBlueMagic Ransomware è molto interessante e pochissimi file-locker funzionano in modo simile. Invece di crittografare singoli file, questo ransomware crittografa intere partizioni e unità: salta solo l'unità di sistema C:\. Questa misura non è rara poiché i criminali vogliono che la vittima sia in grado di avviare i propri sistemi.

Naturalmente, gli autori del DeepBlueMagic Ransomware sono alla ricerca di una tassa di riscatto: le loro richieste sono descritte nel messaggio di riscatto "Hello Word". La nota che lasciano sembra essere personalizzata per ogni vittima, quindi è probabile che i criminali stiano eseguendo il ransomware manualmente. Un altro fatto a sostegno di questa tesi è che i sistemi infetti sono stati accuratamente ripuliti da ogni traccia.

Come attacca il ransomware DeepBlueMagic?

Quando questo ransomware viene eseguito, utilizza un'utilità di crittografia dei file di terze parti chiamata BestCrypt Volume Encryption. Questo è uno strumento legittimo, ma i criminali lo utilizzano con intenti dannosi. Questa utility può crittografare intere partizioni/unità e gli attori utilizzano esattamente questa funzionalità. Tuttavia, DeepBlueMagic Ransomware esegue anche alcune attività extra:

• Arresta tutte le app di terze parti e i servizi Windows per assicurarsi che tutti i dati vengano crittografati in modo sicuro, con problemi minimi.
• Il ransomware cerca di bloccare prodotti e strumenti antivirus.
• Cancella le copie shadow del volume e disabilita il servizio Ripristino configurazione di sistema.

Una particolarità del DeepBlueMagic Ransomware è che l'utilità che utilizza per crittografare i file di solito fornisce un'opzione di ripristino: il file "rescue.rsc". In origine, questo file aiuta gli utenti a recuperare le proprie unità in caso di crittografia accidentale. Sfortunatamente, DeepBlueMagic Ransomware fa in modo che questo file non sia disponibile, eliminando quindi l'unica opzione di recupero dati della vittima.

Le vittime della banda DeepBlueMagic potrebbero essere in grado di riprendersi

Non sorprende che gli autori del DeepBlueMagic Ransomware stiano cercando i soldi della vittima. La loro richiesta di riscatto richiede il pagamento di un riscatto tramite criptovaluta. Ti assicuriamo che pagare è una pessima idea: i criminali potrebbero truffarti facilmente. Il modo migliore per procedere sarebbe recuperare i file persi da un backup. Tuttavia, potrebbe essere disponibile un'alternativa.

Gli esperti di sicurezza informatica che hanno sperimentato DeepBlueMagic Ransomware riferiscono che la sua crittografia non era completa. Invece di crittografare l'intera unità, l'utilità ha manomesso solo le intestazioni del volume e quindi ha interrotto il processo. Sfortunatamente, questo è ancora sufficiente per causare molti danni. Tuttavia, eseguendo un software di crittografia dell'unità simile e interrompendo l'attività di crittografia non appena viene inizializzata, è possibile riprodurre lo stesso risultato di DeepBlueMagic Ransomware. In tal modo, potrebbe essere possibile decodificare il processo e correggere le unità crittografate. Si consiglia di richiedere assistenza professionale per questa opzione di ripristino.