DeepBlueMagic Ransomware 通过第 3 方加密工具执行攻击

DeepBlueMagic 似乎是一个新的勒索软件团伙，目前正在危害运行 Windows Server 2012 R2 的系统。犯罪分子所依赖的确切感染媒介尚不清楚，不幸的是，分析他们的有效载荷也被证明是困难的。这样做的原因是 DeepBlueMagic Ransomware 使用第 3 方实用程序来加密受害者的数据，并在攻击开始后立即删除原始负载。

DeepBlueMagic Ransomware 的作案手法非常有趣，很少有文件柜以类似方式运行。该勒索软件不会加密单个文件，而是加密整个分区和驱动器——它只跳过 C:\ 系统驱动器。这种措施并不少见，因为犯罪分子希望受害者能够启动他们的系统。

当然，DeepBlueMagic Ransomware 的作者需要支付赎金——他们的要求在勒索消息“Hello Word”中有所描述。他们留下的笔记似乎是为每个受害者量身定制的，因此犯罪分子很可能正在手动执行勒索软件。支持这一论点的另一个事实是，受感染的系统已经彻底清除了任何痕迹。

DeepBlueMagic 勒索软件如何攻击？

当此勒索软件运行时，它使用名为 BestCrypt Volume Encryption 的第 3 方文件加密实用程序。这是一个合法的工具，但犯罪分子正在恶意使用它。该实用程序可以加密整个分区/驱动器，而参与者正在利用这一确切功能。然而，DeepBlueMagic Ransomware 也执行一些额外的任务：

• 它会停止任何 3rd 方应用程序和 Windows 服务，以确保所有数据都得到安全加密，问题最少。
• 勒索软件试图阻止防病毒产品和工具。
• 它会清除卷影副本并禁用系统还原服务。

DeepBlueMagic Ransomware 的一个奇特之处在于它用于加密文件的实用程序通常提供一个恢复选项——文件“rescue.rsc”。最初，此文件可帮助用户在意外加密的情况下恢复其驱动器。不幸的是，DeepBlueMagic Ransomware 确保该文件不可用，因此消除了受害者唯一的数据恢复选项。

DeepBlueMagic 团伙的受害者可能能够康复

不出所料，DeepBlueMagic Ransomware 的作者是为了受害者的钱财。他们的赎金票据要求通过加密货币支付赎金。我们向您保证，付款是一个糟糕的主意——犯罪分子可能会轻易地欺骗您。最好的方法是从备份中恢复丢失的文件。但是，也可以使用替代方法。

对 DeepBlueMagic Ransomware 进行试验的网络安全专家报告称，其加密不完整。该实用程序没有对整个驱动器进行加密，而是仅篡改了卷标头，然后停止了该过程。不幸的是，这仍然足以造成大量损害。但是，通过运行类似的驱动器加密软件并在初始化后立即停止加密任务，可以重现与 DeepBlueMagic Ransomware 相同的结果。通过这样做，可以对流程进行逆向工程并修复加密驱动器。建议为此恢复选项寻求专业帮助。