„DeepBlueMagic Ransomware“ vykdo atakas per trečiosios šalies šifravimo įrankį

Atrodo, kad „DeepBlueMagic“ yra nauja išpirkos programų gauja, kuri šiuo metu kenkia sistemoms, kuriose veikia „Windows Server 2012 R2“. Tikslus infekcijos vektorius, kuriuo remiasi nusikaltėliai, nėra aiškus ir, deja, taip pat pasirodė sudėtinga analizuoti jų naudingąją apkrovą. To priežastis yra ta, kad „DeepBlueMagic Ransomware“ naudoja trečiosios šalies įrankį aukos duomenims užšifruoti ir ištrina pradinę naudingąją apkrovą, kai tik prasideda ataka.

„DeepBlueMagic Ransomware“ modus operandi yra labai įdomus, ir labai nedaug failų spintelių veikia panašiai. Vietoj to, kad būtų užšifruoti atskiri failai, ši išpirkos programinė įranga užšifruoja visas skaidinius ir diskus - ji praleidžia tik C: \ sistemos diską. Ši priemonė nėra neįprasta, nes nusikaltėliai nori, kad auka galėtų paleisti savo sistemas.

Žinoma, „DeepBlueMagic Ransomware“ autoriai ima išpirkos mokestį - jų reikalavimai aprašyti išpirkos pranešime „Labas žodis“. Panašu, kad jų paliktas užrašas yra pritaikytas kiekvienai aukai individualiai, todėl tikėtina, kad nusikaltėliai ransomware vykdė rankiniu būdu. Kitas faktas, patvirtinantis šį argumentą, yra tas, kad užkrėstos sistemos buvo kruopščiai išvalytos nuo pėdsakų.

Kaip „DeepBlueMagic Ransomware“ puola?

Kai ši išpirkos programa veikia, ji naudoja trečiosios šalies failų šifravimo įrankį, vadinamą „BestCrypt Volume Encryption“. Tai teisėta priemonė, tačiau nusikaltėliai ja naudojasi piktybiškai. Ši programa gali užšifruoti visus skaidinius/diskus, o aktoriai naudojasi šia tikslia funkcija. Tačiau „DeepBlueMagic Ransomware“ taip pat atlieka keletą papildomų užduočių:

• Jis sustabdo visas trečiųjų šalių programas ir „Windows“ paslaugas, kad įsitikintų, jog visi duomenys bus užšifruoti saugiai ir su minimaliomis problemomis.
• Išpirkos programa bando sustabdyti antivirusinius produktus ir įrankius.
• Tai pašalina šešėlių tomo kopijas ir išjungia sistemos atkūrimo paslaugą.

Ypatinga „DeepBlueMagic Ransomware“ savybė yra ta, kad pagalbinė programa, naudojama failų šifravimui, paprastai suteikia atkūrimo parinktį - failą „rescue.rsc“. Iš pradžių šis failas padeda vartotojams atkurti savo diskus atsitiktinio šifravimo atveju. Deja, „DeepBlueMagic Ransomware“ užtikrina, kad šis failas nepasiekiamas, todėl pašalinama vienintelė aukos duomenų atkūrimo parinktis.

„DeepBlueMagic Gang“ aukos gali atsigauti

Nenuostabu, kad „DeepBlueMagic Ransomware“ autoriai ieško aukos pinigų. Jų išpirkos raštas reikalauja išpirkos mokėjimo per kriptovaliutą. Užtikriname, kad mokėti yra baisi idėja - nusikaltėliai gali jus lengvai apgauti. Geriausias būdas tęsti būtų atkurti prarastus failus iš atsarginės kopijos. Tačiau gali būti alternatyva.

Kibernetinio saugumo ekspertai, kurie eksperimentavo su „DeepBlueMagic Ransomware“, praneša, kad jo šifravimas nebuvo baigtas. Užuot užšifravęs visą diską, programa tik sugadino garsumo antraštes ir tada nutraukė procesą. Deja, to vis tiek pakanka, kad būtų padaryta daug žalos. Tačiau paleidus panašią diskų šifravimo programinę įrangą ir sustabdžius šifravimo užduotį, kai tik ji inicijuojama, galima atkurti tą patį rezultatą kaip ir „DeepBlueMagic Ransomware“. Tokiu būdu gali būti įmanoma pakeisti procesą ir pakeisti šifruotus diskus. Rekomenduojama kreiptis į profesionalų pagalbą dėl šios atkūrimo galimybės.