DeepBlueMagic Ransomware utför attacker via ett tredjeparts krypteringsverktyg

DeepBlueMagic verkar vara ett nytt ransomware -gäng, som för närvarande äventyrar system som kör Windows Server 2012 R2. Den exakta infektionsvektorn som de kriminella förlitar sig på är inte klar och tyvärr har det också visat sig vara svårt att analysera sin nyttolast. Anledningen till detta är att DeepBlueMagic Ransomware använder ett tredjepartsverktyg för att kryptera offrets data, och det tar bort den ursprungliga nyttolasten så snart attacken påbörjas.

Mode operandi för DeepBlueMagic Ransomware är mycket intressant, och väldigt få fillås fungerar på liknande sätt. Istället för att kryptera enskilda filer krypterar denna ransomware hela partitioner och enheter - den hoppar bara över C: \ system -enheten. Denna åtgärd är inte ovanlig eftersom brottslingarna vill att offret ska kunna starta upp sina system.

Naturligtvis är författarna till DeepBlueMagic Ransomware efter en lösenavgift - deras krav beskrivs i lösenmeddelandet 'Hello Word'. Anteckningen de lämnar verkar skräddarsys individuellt för varje offer, så det är troligt att brottslingarna kan utföra ransomware manuellt. Ett annat faktum som stöder detta argument är att de infekterade systemen har rengjorts noggrant från spår.

Hur attackerar DeepBlueMagic Ransomware?

När denna ransomware körs använder den ett tredjeparts filkrypteringsverktyg som heter BestCrypt Volume Encryption. Detta är ett legitimt verktyg, men kriminella använder det med onda avsikter. Det här verktyget kan kryptera hela partitioner/enheter, och aktörerna använder denna exakta funktion. DeepBlueMagic Ransomware utför dock också några extra uppgifter:

• Det stoppar alla tredjepartsappar och Windows-tjänster för att säkerställa att all data krypteras säkert, med minimala problem.
• Ransomware försöker stoppa antivirusprodukter och verktyg.
• Det torkar ut skuggvolymkopior och inaktiverar systemåterställningstjänsten.

En märklig egendom hos DeepBlueMagic Ransomware är att verktyget som används för att kryptera filer vanligtvis ger ett återställningsalternativ - filen 'rescue.rsc.' Ursprungligen hjälper den här filen användare att återställa sina enheter vid oavsiktlig kryptering. Tyvärr ser DeepBlueMagic Ransomware till att den här filen inte är tillgänglig, vilket eliminerar offrets enda alternativ för dataåterställning.

Offer för DeepBlueMagic Gang kan vara i stånd att återhämta sig

Inte överraskande är författarna till DeepBlueMagic Ransomware efter offrets pengar. Deras lösenbrev kräver en lösenbetalning via kryptovaluta. Vi försäkrar dig om att betala är en hemsk idé - de kriminella kan lura dig med lätthet. Det bästa sättet att gå vidare är att återställa de förlorade filerna från en säkerhetskopia. Ett alternativ kan dock finnas.

Cybersäkerhetsexperter som experimenterade med DeepBlueMagic Ransomware rapporterar att dess kryptering inte var fullständig. I stället för att kryptera hela enheten, manipulerade verktyget bara med volymrubriker och avbröt sedan processen. Tyvärr är detta fortfarande tillräckligt för att orsaka mycket skada. Genom att köra liknande enhetskrypterande programvara och stoppa krypteringsuppgiften så snart den initieras är det dock möjligt att återge samma resultat som DeepBlueMagic Ransomware. Genom att göra det kan det vara möjligt att omarbeta processen och fixa de krypterade enheterna. Det rekommenderas att söka professionell hjälp för detta återställningsalternativ.