DeepBlueMagic Ransomware wykonuje ataki za pomocą narzędzia szyfrującego innej firmy

DeepBlueMagic wydaje się być nowym gangiem ransomware, który obecnie kompromituje systemy z systemem Windows Server 2012 R2. Dokładny wektor infekcji, na którym polegają przestępcy, nie jest jasny i niestety analiza ich ładunku również okazała się trudna. Powodem tego jest to, że DeepBlueMagic Ransomware używa narzędzia innej firmy do szyfrowania danych ofiary i usuwa oryginalny ładunek zaraz po rozpoczęciu ataku.

Sposób działania oprogramowania ransomware DeepBlueMagic jest bardzo interesujący i bardzo niewiele programów do przechowywania plików działa w podobny sposób. Zamiast szyfrować pojedyncze pliki, to ransomware szyfruje całe partycje i dyski – pomija tylko dysk systemowy C:\. Ten środek nie jest rzadkością, ponieważ przestępcy chcą, aby ofiara mogła uruchomić swoje systemy.

Oczywiście autorzy DeepBlueMagic Ransomware są po uiszczeniu opłaty okupu – ich żądania są opisane w wiadomości z żądaniem okupu „Hello Word”. Notatka, którą zostawiają, wydaje się być dostosowana indywidualnie do każdej ofiary, więc jest prawdopodobne, że przestępcy mogą ręcznie uruchamiać oprogramowanie ransomware. Kolejnym faktem przemawiającym za tym argumentem jest to, że zainfekowane systemy zostały dokładnie oczyszczone ze wszelkich śladów.

Jak atakuje oprogramowanie ransomware DeepBlueMagic?

Kiedy to ransomware działa, używa narzędzia do szyfrowania plików innej firmy o nazwie BestCrypt Volume Encryption. Jest to legalne narzędzie, ale przestępcy używają go w złych zamiarach. To narzędzie może szyfrować całe partycje/dyski, a aktorzy korzystają z tej właśnie funkcji. Jednak DeepBlueMagic Ransomware wykonuje również dodatkowe zadania:

• Zatrzymuje wszelkie aplikacje i usługi Windows innych firm, aby upewnić się, że wszystkie dane zostaną bezpiecznie zaszyfrowane przy minimalnych problemach.
• Ransomware próbuje zatrzymać produkty i narzędzia antywirusowe.
• Usuwa kopie woluminów w tle i wyłącza usługę przywracania systemu.

Osobliwym dziwactwem DeepBlueMagic Ransomware jest to, że narzędzie, którego używa do szyfrowania plików, zwykle zapewnia opcję odzyskiwania – plik „rescue.rsc”. Pierwotnie ten plik pomagał użytkownikom odzyskać ich dyski w przypadku przypadkowego szyfrowania. Niestety, DeepBlueMagic Ransomware upewnia się, że ten plik nie jest dostępny, eliminując w ten sposób jedyną opcję odzyskiwania danych ofiary.

Ofiary gangu DeepBlueMagic mogą odzyskać siły

Nic dziwnego, że autorzy ransomware DeepBlueMagic szukają pieniędzy ofiary. Ich żądanie okupu wymaga zapłaty okupu za pośrednictwem kryptowaluty. Zapewniamy, że płacenie to okropny pomysł – przestępcy mogą z łatwością Cię oszukać. Najlepszym sposobem postępowania byłoby odzyskanie utraconych plików z kopii zapasowej. Może być jednak dostępna alternatywa.

Eksperci od cyberbezpieczeństwa, którzy eksperymentowali z DeepBlueMagic Ransomware, twierdzą, że jego szyfrowanie nie było kompletne. Zamiast zaszyfrować cały dysk, narzędzie manipulowało tylko nagłówkami woluminów, a następnie przerwało proces. Niestety to wciąż wystarcza, aby spowodować wiele szkód. Jednak uruchamiając podobne oprogramowanie do szyfrowania dysków i zatrzymując zadanie szyfrowania zaraz po jego zainicjowaniu, można odtworzyć ten sam wynik, co w przypadku DeepBlueMagic Ransomware. W ten sposób może być możliwe odtworzenie procesu i naprawienie zaszyfrowanych dysków. Zaleca się zasięgnięcie profesjonalnej pomocy w przypadku tej opcji odzyskiwania.