DeepBlueMagic Ransomware utfører angrep gjennom et tredjeparts krypteringsverktøy

DeepBlueMagic ser ut til å være en ny ransomware -gjeng, som for tiden kompromitterer systemer som kjører Windows Server 2012 R2. Den eksakte smittevektoren som de kriminelle stoler på er ikke klar, og dessverre har det også vist seg å være vanskelig å analysere nyttelasten. Grunnen til dette er at DeepBlueMagic Ransomware bruker et tredjepartsverktøy for å kryptere offerets data, og den sletter den opprinnelige nyttelasten så snart angrepet begynner.

Modus operandi for DeepBlueMagic Ransomware er veldig interessant, og svært få fillåser fungerer på lignende måte. I stedet for å kryptere individuelle filer, krypterer denne ransomware hele partisjoner og stasjoner - den hopper bare over C: \ systemstasjonen. Dette tiltaket er ikke uvanlig siden de kriminelle ønsker at offeret skal kunne starte opp systemene sine.

Selvfølgelig er forfatterne av DeepBlueMagic Ransomware ute etter en løsepenger - deres krav er beskrevet i løsepenger -meldingen 'Hello Word'. Notatet de legger ut ser ut til å være skreddersydd individuelt for hvert offer, så det er sannsynlig at kriminelle kan utføre ransomware manuelt. Et annet faktum som støtter dette argumentet er at de infiserte systemene ble grundig renset for spor.

Hvordan angriper DeepBlueMagic Ransomware?

Når denne ransomware kjøres, bruker den et tredjeparts filkrypteringsverktøy kalt BestCrypt Volume Encryption. Dette er et legitimt verktøy, men kriminelle bruker det med ondsinnet hensikt. Dette verktøyet kan kryptere hele partisjoner/stasjoner, og aktørene bruker denne eksakte funksjonen. DeepBlueMagic Ransomware utfører imidlertid også noen ekstra oppgaver:

• Det stopper alle tredjepartsapper og Windows-tjenester for å sikre at alle data blir kryptert sikkert, med minimale problemer.
• Ransomware prøver å stoppe antivirusprodukter og verktøy.
• Det tørker ut Shadow Volume Copies og deaktiverer System Restore Service.

En sære egenskap ved DeepBlueMagic Ransomware er at verktøyet den bruker til å kryptere filer vanligvis gir et gjenopprettingsalternativ - filen 'rescue.rsc.' Opprinnelig hjelper denne filen brukerne med å gjenopprette stasjonene sine ved utilsiktet kryptering. Dessverre sørger DeepBlueMagic Ransomware for at denne filen ikke er tilgjengelig, og eliminerer derfor offerets eneste datagjenopprettingsalternativ.

Ofre for DeepBlueMagic Gang kan være i stand til å gjenopprette

Ikke overraskende er forfatterne av DeepBlueMagic Ransomware ute etter offerets penger. Løsepenger krever en løsepengerbetaling gjennom kryptovaluta. Vi forsikrer deg om at betaling er en forferdelig idé - de kriminelle kan lure deg lett. Den beste måten å fortsette på er å gjenopprette tapte filer fra en sikkerhetskopi. Et alternativ kan imidlertid være tilgjengelig.

Cybersikkerhetseksperter som eksperimenterte med DeepBlueMagic Ransomware rapporterer at krypteringen ikke var fullført. I stedet for å kryptere hele stasjonen, manipulerte verktøyet bare med volumoverskrifter og stoppet deretter prosessen. Dessverre er dette fortsatt nok til å forårsake mye skade. Ved å kjøre lignende stasjonskrypteringsprogramvare og stoppe krypteringsoppgaven så snart den initialiseres, er det imidlertid mulig å gjengi det samme resultatet som DeepBlueMagic Ransomware. Ved å gjøre det, kan det være mulig å reverse-prosjektere prosessen og fikse de krypterte stasjonene. Det anbefales å søke profesjonell hjelp for dette alternativet for gjenoppretting.