Программа-вымогатель DeepBlueMagic выполняет атаки с помощью стороннего инструмента шифрования

DeepBlueMagic кажется новой бандой вымогателей, которая в настоящее время взламывает системы под управлением Windows Server 2012 R2. Точный вектор заражения, на который полагаются злоумышленники, не ясен, и, к сожалению, анализ их полезной нагрузки также оказался затруднительным. Причина этого в том, что DeepBlueMagic Ransomware использует стороннюю утилиту для шифрования данных жертвы и удаляет исходную полезную нагрузку, как только начинается атака.

Принцип работы DeepBlueMagic Ransomware очень интересен, и очень немногие хранилища файлов работают аналогичным образом. Вместо шифрования отдельных файлов эта программа-вымогатель шифрует целые разделы и диски - она пропускает только системный диск C: \. Эта мера не редкость, поскольку преступники хотят, чтобы жертва могла загрузить свои системы.

Конечно, авторы программы-вымогателя DeepBlueMagic добиваются выкупа - их требования описаны в сообщении о выкупе «Hello Word». Записка, которую они оставляют, кажется, адаптирована индивидуально для каждой жертвы, поэтому вполне вероятно, что преступники могут запускать программу-вымогатель вручную. Еще один факт, подтверждающий этот аргумент, заключается в том, что зараженные системы были тщательно очищены от любых следов.

Как атакует программа-вымогатель DeepBlueMagic?

Когда эта программа-вымогатель запускается, она использует стороннюю утилиту для шифрования файлов под названием BestCrypt Volume Encryption. Это законный инструмент, но злоумышленники используют его со злым умыслом. Эта утилита может шифровать целые разделы / диски, и акторы используют именно эту функцию. Однако DeepBlueMagic Ransomware также выполняет некоторые дополнительные задачи:

• Он останавливает любые сторонние приложения и службы Windows, чтобы обеспечить надежное шифрование всех данных с минимальными проблемами.
• Программа-вымогатель пытается остановить антивирусные продукты и инструменты.
• Он стирает теневые копии томов и отключает службу восстановления системы.

Особенностью программы-вымогателя DeepBlueMagic является то, что утилита, которую она использует для шифрования файлов, обычно предоставляет возможность восстановления - файл rescue.rsc. Изначально этот файл помогает пользователям восстанавливать свои диски в случае случайного шифрования. К сожалению, DeepBlueMagic Ransomware гарантирует, что этот файл недоступен, что исключает единственный вариант восстановления данных жертвы.

Жертвы банды DeepBlueMagic могут выздороветь

Неудивительно, что авторы DeepBlueMagic Ransomware гонятся за деньгами жертвы. Их записка о выкупе требует выплаты выкупа в криптовалюте. Уверяем вас, что платить - ужасная идея - преступники могут легко вас обмануть. Лучший способ продолжить - восстановить потерянные файлы из резервной копии. Однако может быть доступна альтернатива.

Эксперты по кибербезопасности, которые экспериментировали с DeepBlueMagic Ransomware, сообщают, что его шифрование не было полным. Вместо того, чтобы зашифровать весь диск, утилита только изменила заголовки томов, а затем остановила процесс. К сожалению, этого достаточно, чтобы нанести большой ущерб. Однако, запустив аналогичное программное обеспечение для шифрования дисков и остановив задачу шифрования сразу после ее инициализации, можно воспроизвести тот же результат, что и программа-вымогатель DeepBlueMagic. Таким образом можно было бы реконструировать процесс и исправить зашифрованные диски. Для этого варианта восстановления рекомендуется обратиться за профессиональной помощью.