DeepBlueMagic Ransomware
Le DeepBlueMagic semble être un gang nouvellement établi dans le paysage des ransomwares. Les opérations du groupe ont d'abord été reprises par les chercheurs d'infosec de Heimdal Security. L'analyse de la menace de ransomware déployée a révélé des caractéristiques très particulières qui distinguent DeepBlueMagic des menaces de ransomware typiques.
Comportement unique
Pour commencer, le groupe utilise un programme de chiffrement de disque tiers légitime nommé « BestCrypt Volume Encryption » pour son processus de chiffrement. Au lieu de se concentrer sur des fichiers individuels, DeepBlueMagic verrouille des disques entiers connectés au serveur compromis. Cependant, le disque système C a été laissé intact et accessible. Il héberge l'outil de chiffrement et son fichier de secours 'rescue.rsc.' Habituellement, ce fichier peut être utilisé pour récupérer des partitions chiffrées par l'outil, en cas de problèmes inattendus. Cependant, le fichier 'rescue.rsc' laissé par DeepBlueMagic est inutilisable car il a été crypté par son propre programme et nécessite une clé pour être ouvert.
Il convient de noter que le processus de cryptage est initié via BestCrypt Volume Encryption puis arrêté immédiatement. Cela signifie que ce n'est pas tout le disque qui est verrouillé, mais seulement les en-têtes. Néanmoins, les partitions affectées seront reconnues par le système comme étant au format RAW et inutilisables.
Capacités supplémentaires
Avant que le processus de chiffrement ne démarre, DeepBlueMagic doit préparer l'environnement sur les systèmes infectés. Cela implique de désactiver tous les services Windows tiers découverts sur l'ordinateur. Cela garantit qu'aucun logiciel de sécurité basé sur l'analyse comportementale ne sera laissé en cours d'exécution, car laisser de tels programmes actifs entraînerait la détection immédiate des activités menaçantes et leur blocage ultérieur.
L'étape suivante effectuée par DeepBlueMagic consiste à supprimer les sauvegardes de cliché instantané de volume créées par Windows. Les laisser signifierait que les utilisateurs pourraient potentiellement être en mesure de restaurer les données verrouillées sans avoir besoin de l'intervention des cybercriminels. Pour empêcher les experts de mettre la main sur un échantillon de la menace, le logiciel malveillant supprime automatiquement son fichier sur l'appareil infecté, ne laissant derrière lui que l'outil de cryptage légitime et une demande de rançon sous la forme d'un fichier texte nommé « Hello world ». Le fichier de notes est créé sur le Dekstop du système. Le texte intégral du message est :
' Bonjour. Le disque dur du serveur de votre entreprise a été chiffré par nos soins.
Nous utilisons l'algorithme de cryptage le plus complexe (AES256). Nous seuls pouvons décrypter.
Veuillez nous contacter : [adresse e-mail 1]
(Veuillez vérifier les spams, éviter les mails manquants)
Code d'identification : ******** (Merci de nous indiquer le code d'identification)
Veuillez nous contacter et nous vous indiquerons le montant de la rançon et les modalités de paiement.
(Si le contact est rapide, nous vous accorderons une remise.)
Une fois le paiement réussi, nous dirons le mot de passe de décryptage.
Afin que vous croyiez en nous, nous avons préparé le serveur de test. Veuillez nous contacter et nous informerons le serveur de test et décrypterons le mot de passe.
Veuillez ne pas analyser les disques durs cryptés ou tenter de récupérer des données. Empêcher la corruption des données.
!!!
Si nous ne répondons pas. Veuillez contacter une autre boîte aux lettres : [adresse e-mail 2]
Nous n'activerons la boîte aux lettres alternative que si la première boîte aux lettres ne fonctionne pas correctement. '
