DeepBlueMagicランサムウェア

DeepBlueMagicランサムウェア 説明

DeepBlueMagicは、ランサムウェアの世界で新たに設立されたギャングのようです。このグループの活動は、HeimdalSecurityのinfosec研究者によって最初に取り上げられました。展開されたランサムウェアの脅威の分析により、DeepBlueMagicを典型的なランサムウェアの脅威と区別するいくつかの非常に独特な特性が明らかになりました。

ユニークな行動

まず、このグループは、暗号化プロセスに「BestCryptVolumeEncryption」という名前の正規のサードパーティディスク暗号化プログラムを採用しています。 DeepBlueMagicは、個々のファイルに焦点を合わせる代わりに、侵入先のサーバーに接続されているディスクドライブ全体をロックします。ただし、システムディスクCはそのまま残され、アクセス可能でした。暗号化ツールとそのレスキューファイル「rescue.rsc」をホストします。通常、このファイルは、予期しない問題が発生した場合に、ツールによって暗号化されたパーティションを回復するために使用できます。ただし、DeepBlueMagicによって残された「rescue.rsc」ファイルは、独自のプログラムによって暗号化されており、キーを開く必要があるため、使用できません。

暗号化プロセスはBestCryptVolume Encryptionを介して開始され、すぐに停止されることに注意してください。これは、ディスク全体がロックされるのではなく、ヘッダーだけがロックされることを意味します。それでも、影響を受けるパーティションは、システムによってRAW形式であり、使用できないものとして認識されます。

追加機能

暗号化プロセスを開始する前に、DeepBlueMagicは感染したシステム上の環境を準備する必要があります。これには、コンピューターで検出されたすべてのサードパーティのウィンドウサービスを無効にすることが含まれます。そうすることで、行動分析に基づくセキュリティソフトウェアが実行されたままにならないようにします。そのようなプログラムをアクティブのままにすると、脅威となるアクティビティが即座に検出され、その後ブロックされるためです。

DeepBlueMagicによって実行される次のステップは、Windowsによって作成されたボリュームシャドウコピーバックアップを削除することです。それらを残すことは、ユーザーがサイバー犯罪者からの入力を必要とせずにロックされたデータを復元できる可能性があることを意味します。専門家が脅威のサンプルを入手するのを防ぐために、マルウェアは感染したデバイス上のファイルを自己削除し、正当な暗号化ツールと「Helloworld」という名前のテキストファイル形式の身代金メモのみを残します。ノートベアリングファイルは、システムのデスクトップに作成されます。メッセージの全文は次のとおりです。

'こんにちは。あなたの会社のサーバーハードドライブは私たちによって暗号化されました。

最も複雑な暗号化アルゴリズム(AES256)を使用します。解読できるのは私たちだけです。

お問い合わせください:[メールアドレス1]

(スパムをチェックしてください、メールの欠落を避けてください)

識別コード:********(識別コードを教えてください)

お問い合わせください。身代金の金額とお支払い方法をお知らせします。

(連絡が早い場合は割引を差し上げます。)

支払いが成功した後、復号化パスワードを通知します。

あなたが私たちを信じてくれるように、私たちはテストサーバーを用意しました。お問い合わせください。テストサーバーに通知し、パスワードを復号化します。

暗号化されたハードドライブをスキャンしたり、データを回復しようとしたりしないでください。データの破損を防ぎます。

!!!

応答しない場合。別のメールボックスに連絡してください:[メールアドレス2]

最初のメールボックスが正しく機能していない場合にのみ、代替メールボックスを有効にします。 '