DeepBlueMagic Ransomware executa ataques por meio de uma ferramenta de criptografia de terceiros

DeepBlueMagic parece ser uma nova gangue de ransomware, que atualmente está comprometendo sistemas que executam o Windows Server 2012 R2. O vetor de infecção exato em que os criminosos dependem não está claro e, infelizmente, analisar sua carga útil também se mostrou difícil. A razão para isso é que o DeepBlueMagic Ransomware usa um utilitário de terceiros para criptografar os dados da vítima e exclui a carga original assim que o ataque começa.

O modus operandi do DeepBlueMagic Ransomware é muito interessante, e muito poucos armários de arquivos operam de maneira semelhante. Em vez de criptografar arquivos individuais, este ransomware criptografa partições e unidades inteiras - ele apenas ignora a unidade C: \ system. Essa medida não é incomum, pois os criminosos desejam que a vítima possa inicializar seus sistemas.

Claro, os autores do DeepBlueMagic Ransomware estão atrás de uma taxa de resgate - suas demandas são descritas na mensagem de resgate 'Hello Word'. A nota que eles deixam parece ser adaptada individualmente para cada vítima, então é provável que os criminosos possam estar executando o ransomware manualmente. Outro fato que apóia esse argumento é que os sistemas infectados foram completamente limpos de quaisquer vestígios.

Como o DeepBlueMagic Ransomware ataca?

Quando este ransomware é executado, ele usa um utilitário de criptografia de arquivos de terceiros chamado BestCrypt Volume Encryption. Esta é uma ferramenta legítima, mas os criminosos estão usando-a com más intenções. Este utilitário pode criptografar partições / unidades inteiras, e os atores estão usando esse recurso exato. No entanto, o DeepBlueMagic Ransomware também executa algumas tarefas extras:

• Ele interrompe todos os aplicativos de terceiros e serviços do Windows para garantir que todos os dados sejam criptografados com segurança, com o mínimo de problemas.
• O ransomware tenta impedir produtos e ferramentas antivírus.
• Ele apaga as cópias de volume de sombra e desativa o serviço de restauração do sistema.

Uma peculiaridade do DeepBlueMagic Ransomware é que o utilitário que ele usa para criptografar arquivos geralmente fornece uma opção de recuperação - o arquivo 'rescue.rsc'. Originalmente, esse arquivo ajuda os usuários a recuperar suas unidades em caso de criptografia acidental. Infelizmente, o DeepBlueMagic Ransomware garante que esse arquivo não esteja disponível, eliminando, portanto, a única opção de recuperação de dados da vítima.

Vítimas da gangue DeepBlueMagic podem ser capazes de se recuperar

Sem surpresa, os autores do DeepBlueMagic Ransomware estão atrás do dinheiro da vítima. A nota de resgate deles exige o pagamento do resgate por meio de criptomoeda. Garantimos que pagar é uma ideia terrível - os criminosos podem enganá-lo com facilidade. A melhor maneira de proceder seria recuperar os arquivos perdidos de um backup. No entanto, uma alternativa pode estar disponível.

Os especialistas em segurança cibernética que experimentaram o DeepBlueMagic Ransomware relatam que sua criptografia não foi concluída. Em vez de criptografar toda a unidade, o utilitário apenas adulterou os cabeçalhos de volume e interrompeu o processo. Infelizmente, isso ainda é suficiente para causar muitos danos. No entanto, executando um software de criptografia de unidade semelhante e interrompendo a tarefa de criptografia assim que ela inicializa, é possível reproduzir o mesmo resultado que o DeepBlueMagic Ransomware. Ao fazer isso, pode ser possível fazer a engenharia reversa do processo e corrigir as unidades criptografadas. Recomenda-se procurar ajuda profissional para esta opção de recuperação.