DeepBlueMagicランサムウェアは、サードパーティの暗号化ツールを介して攻撃を実行します
DeepBlueMagicは、現在Windows Server 2012R2を実行しているシステムを危険にさらしている新しいランサムウェアギャングのようです。犯罪者が依存している正確な感染ベクトルは明確ではなく、残念ながら、ペイロードの分析も困難であることが証明されています。これは、DeepBlueMagic Ransomwareがサードパーティのユーティリティを使用して被害者のデータを暗号化し、攻撃が開始されるとすぐに元のペイロードを削除するためです。
DeepBlueMagicランサムウェアのモードオペランドは非常に興味深いものであり、同様の方法で動作するファイルロッカーはほとんどありません。このランサムウェアは、個々のファイルを暗号化する代わりに、パーティションとドライブ全体を暗号化します。C:\システムドライブのみをスキップします。犯罪者は被害者がシステムを起動できるようにしたいと考えているため、この対策は珍しいことではありません。
もちろん、DeepBlueMagic Ransomwareの作成者は身代金を支払っています。彼らの要求は、身代金メッセージ「HelloWord」に記載されています。彼らが残したメモは、被害者ごとに個別に調整されているように見えるため、犯罪者がランサムウェアを手動で実行している可能性があります。この議論を裏付けるもう1つの事実は、感染したシステムから痕跡が完全に除去されたことです。
DeepBlueMagicランサムウェアはどのように攻撃しますか?
このランサムウェアが実行されると、BestCrypt VolumeEncryptionと呼ばれるサードパーティのファイル暗号化ユーティリティが使用されます。これは正当なツールですが、犯罪者は悪意を持って使用しています。このユーティリティはパーティション/ドライブ全体を暗号化でき、アクターはこの正確な機能を利用しています。ただし、DeepBlueMagicランサムウェアはいくつかの追加タスクも実行します。
- すべてのデータが最小限の問題で安全に暗号化されるようにするために、サードパーティのアプリとWindowsサービスを停止します。
- ランサムウェアは、ウイルス対策製品やツールを阻止しようとします。
- シャドウボリュームコピーを消去し、システムの復元サービスを無効にします。
DeepBlueMagic Ransomwareの独特の癖は、ファイルの暗号化に使用するユーティリティが通常、回復オプション(ファイル「rescue.rsc」)を提供することです。元々、このファイルは、誤って暗号化された場合にユーザーがドライブを回復するのに役立ちます。残念ながら、DeepBlueMagicランサムウェアはこのファイルが利用できないことを確認するため、被害者の唯一のデータ回復オプションを排除します。
DeepBlueMagicギャングの犠牲者は回復できる可能性があります
当然のことながら、DeepBlueMagicランサムウェアの作者は被害者のお金を追い求めています。彼らの身代金メモは、暗号通貨による身代金の支払いを要求しています。支払うことはひどい考えであると私たちはあなたに保証します–犯罪者はあなたを簡単に詐欺するかもしれません。続行するための最良の方法は、バックアップから失われたファイルを回復することです。ただし、別の方法が利用できる場合があります。
DeepBlueMagic Ransomwareを実験したサイバーセキュリティの専門家は、暗号化が完全ではなかったと報告しています。ドライブ全体を暗号化する代わりに、ユーティリティはボリュームヘッダーを改ざんしただけで、プロセスを停止しました。残念ながら、これでも十分なダメージを与えることができます。ただし、同様のドライブ暗号化ソフトウェアを実行し、初期化するとすぐに暗号化タスクを停止することで、DeepBlueMagicランサムウェアと同じ結果を再現することができます。そうすることで、プロセスをリバースエンジニアリングし、暗号化されたドライブを修正できる可能性があります。この回復オプションについては、専門家の支援を求めることをお勧めします。
