DeepBlueMagic Ransomware 通過第 3 方加密工具執行攻擊

DeepBlueMagic 似乎是一個新的勒索軟件團伙，目前正在危害運行 Windows Server 2012 R2 的系統。犯罪分子所依賴的確切感染媒介尚不清楚，不幸的是，分析他們的有效載荷也被證明是困難的。這樣做的原因是 DeepBlueMagic Ransomware 使用第 3 方實用程序來加密受害者的數據，並在攻擊開始後立即刪除原始負載。

DeepBlueMagic Ransomware 的作案手法非常有趣，很少有文件櫃以類似方式運行。該勒索軟件不會加密單個文件，而是加密整個分區和驅動器——它只跳過 C:\ 系統驅動器。這種措施並不少見，因為犯罪分子希望受害者能夠啟動他們的系統。

當然，DeepBlueMagic Ransomware 的作者需要支付贖金——他們的要求在勒索消息“Hello Word”中有所描述。他們留下的筆記似乎是為每個受害者量身定制的，因此犯罪分子很可能正在手動執行勒索軟件。支持這一論點的另一個事實是，受感染的系統已經徹底清除了任何痕跡。

DeepBlueMagic 勒索軟件如何攻擊？

當此勒索軟件運行時，它使用名為 BestCrypt Volume Encryption 的第 3 方文件加密實用程序。這是一個合法的工具，但犯罪分子正在惡意使用它。該實用程序可以加密整個分區/驅動器，而參與者正在利用這一確切功能。然而，DeepBlueMagic Ransomware 也執行一些額外的任務：

• 它會停止任何 3rd 方應用程序和 Windows 服務，以確保所有數據都得到安全加密，問題最少。
• 勒索軟件試圖阻止防病毒產品和工具。
• 它會清除卷影副本並禁用系統還原服務。

DeepBlueMagic Ransomware 的一個奇特之處在於它用於加密文件的實用程序通常提供一個恢復選項——文件“rescue.rsc”。最初，此文件可幫助用戶在意外加密的情況下恢復其驅動器。不幸的是，DeepBlueMagic Ransomware 確保該文件不可用，因此消除了受害者唯一的數據恢復選項。

DeepBlueMagic 團伙的受害者可能能夠康復

不出所料，DeepBlueMagic Ransomware 的作者是為了受害者的錢財。他們的贖金票據要求通過加密貨幣支付贖金。我們向您保證，付款是一個糟糕的主意——犯罪分子可能會輕易地欺騙您。最好的方法是從備份中恢復丟失的文件。但是，也可以使用替代方法。

對 DeepBlueMagic Ransomware 進行試驗的網絡安全專家報告稱，其加密不完整。該實用程序沒有對整個驅動器進行加密，而是僅篡改了卷標頭，然後停止了該過程。不幸的是，這仍然足以造成大量損害。但是，通過運行類似的驅動器加密軟件並在初始化後立即停止加密任務，可以重現與 DeepBlueMagic Ransomware 相同的結果。通過這樣做，可以對流程進行逆向工程並修復加密驅動器。建議為此恢復選項尋求專業幫助。