DeepBlueMagic Ransomware voert aanvallen uit via een versleutelingstool van derden

DeepBlueMagic lijkt een nieuwe ransomwarebende te zijn, die momenteel systemen met Windows Server 2012 R2 in gevaar brengt. De exacte infectievector waarop de criminelen vertrouwen, is niet duidelijk en helaas is het analyseren van hun lading ook moeilijk gebleken. De reden hiervoor is dat de DeepBlueMagic Ransomware een hulpprogramma van derden gebruikt om de gegevens van het slachtoffer te versleutelen en de oorspronkelijke lading verwijdert zodra de aanval begint.

De modus operandi van de DeepBlueMagic Ransomware is erg interessant, en zeer weinig bestandslockers werken op een vergelijkbare manier. In plaats van individuele bestanden te versleutelen, versleutelt deze ransomware hele partities en schijven – het slaat alleen de C:\ systeemschijf over. Deze maatregel is niet ongebruikelijk omdat de criminelen willen dat het slachtoffer hun systemen kan opstarten.

Natuurlijk zijn de auteurs van de DeepBlueMagic Ransomware op zoek naar losgeld – hun eisen worden beschreven in het losgeldbericht 'Hallo woord'. De notitie die ze achterlaten lijkt voor elk slachtoffer individueel te zijn afgestemd, dus het is waarschijnlijk dat de criminelen de ransomware handmatig uitvoeren. Een ander feit dat dit argument ondersteunt, is dat de geïnfecteerde systemen grondig zijn ontdaan van sporen.

Hoe valt de DeepBlueMagic Ransomware aan?

Wanneer deze ransomware wordt uitgevoerd, gebruikt het een hulpprogramma voor bestandscodering van derden genaamd BestCrypt Volume Encryption. Dit is een legitiem hulpmiddel, maar criminelen gebruiken het met kwade bedoelingen. Dit hulpprogramma kan volledige partities/schijven versleutelen en de acteurs maken gebruik van deze exacte functie. De DeepBlueMagic Ransomware voert echter ook enkele extra taken uit:

• Het stopt alle apps en Windows-services van derden om ervoor te zorgen dat alle gegevens veilig en met minimale problemen worden versleuteld.
• De ransomware probeert antivirusproducten en -tools te stoppen.
• Het verwijdert schaduwvolume-kopieën en schakelt de systeemherstelservice uit.

Een eigenaardige gril van de DeepBlueMagic Ransomware is dat het hulpprogramma dat het gebruikt om bestanden te versleutelen meestal een hersteloptie biedt – het bestand 'rescue.rsc.' Oorspronkelijk helpt dit bestand gebruikers om hun schijven te herstellen in geval van onbedoelde versleuteling. Helaas zorgt de DeepBlueMagic Ransomware ervoor dat dit bestand niet beschikbaar is, waardoor de enige optie voor gegevensherstel van het slachtoffer wordt geëlimineerd.

Slachtoffers van de DeepBlueMagic-bende kunnen mogelijk herstellen

Het is niet verwonderlijk dat de auteurs van de DeepBlueMagic Ransomware uit zijn op het geld van het slachtoffer. Hun losgeldbrief eist een losgeldbetaling via cryptocurrency. We verzekeren je dat betalen een vreselijk idee is - de criminelen kunnen je gemakkelijk oplichten. De beste manier om verder te gaan is om de verloren bestanden te herstellen vanaf een back-up. Er kan echter een alternatief beschikbaar zijn.

Cybersecurity-experts die met DeepBlueMagic Ransomware hebben geëxperimenteerd, melden dat de codering niet volledig was. In plaats van de hele schijf te versleutelen, heeft het hulpprogramma alleen met volumeheaders geknoeid en vervolgens het proces stopgezet. Helaas is dit nog steeds voldoende om veel schade aan te richten. Door echter vergelijkbare schijfversleutelingssoftware uit te voeren en de versleutelingstaak te stoppen zodra deze wordt geïnitialiseerd, is het mogelijk om hetzelfde resultaat te reproduceren als de DeepBlueMagic Ransomware. Door dit te doen, is het misschien mogelijk om het proces te reverse-engineeren en de versleutelde schijven te repareren. Het wordt aanbevolen om professionele hulp in te roepen voor deze hersteloptie.