Heimdalのセキュリティ研究者は、新しいランサムウェア株について知らされました, DeepBlueMagicと呼ばれるグループによって署名されました. どうやら, 新しい菌株はかなり複雑です, ファイル暗号化の観点から革新的なアプローチを表示する.
研究者が分析した侵害されたデバイスは、WindowsServerを実行していました 2021 R2. そう, 新しく登場したDeepBlueMagicランサムウェアの何がそんなに違うのか見てみましょう.
DeepBlueMagicランサムウェアの概要
初めに, ランサムウェアは、JeticoによるBestCryptVolumeEncryptionと呼ばれるサードパーティの暗号化ツールを使用します. 被害者のシステムで最初にファイルを暗号化する代わりに, ランサムウェアは最初にサーバー上のさまざまなディスクドライブを標的にしました, 「C」にあるシステムドライブを除いて:\」パーティション).」
「「BestCryptボリューム暗号化」は、アクセス可能なディスクにまだ存在していました, C, 「rescue.rsc」という名前のファイルと一緒に, 損傷が発生した場合にパーティションを回復するためにJeticoのソフトウェアによって習慣的に使用されるレスキューファイル. しかし、ソフトウェアの合法的な使用とは異なり, レスキューファイル自体もJeticoの製品によって暗号化されました, 同じメカニズムを使用して, 開くにはパスワードが必要です,」ハイムダルは説明した.
これは、ほとんどのランサムウェアファミリで使用されている通常の手口ではありません。. ほとんどのランサムウェア感染は、ファイルの暗号化に焦点を当てています.
「さらに分析したところ、暗号化プロセスはJeticoの製品を使用して開始されたことが明らかになりました。, 開始直後に停止しました. したがって, このゴーアラウンドプロセスに続いて, ドライブは部分的にのみ暗号化されました, ボリュームヘッダーだけが影響を受けます. 暗号化は、Jeticoの「BestCryptVolumeEncryption」のレスキューファイルを使用して継続または復元できます。, しかし、そのファイルはランサムウェアのオペレーターによっても暗号化されていました,」レポートが追加されました.
DeepBlueMagicランサムウェアは、ファイルの復元が不可能であることを確認するために、ボリュームシャドウコピーも削除しました. Windowsサーバーのオペレーティングシステムで検出されたため, ランサムウェアもアクティブ化しようとしました Bitlocker そのアクティブディレクトリ内のすべてのエンドポイント.
"不運にも, ランサムウェアは、正規のJeticoツールの痕跡を除いて、元の実行可能ファイルの痕跡も自己削除しました。. つまり、今回はサンプルを取得しなかったため、安全な仮想マシン環境でさらに分析を実行できます。,」ハイムダルは付け加えた. 幸運, 研究者が入手した情報は、事件のテクニカルレポートとランサムウェアの特徴をまとめるのに十分でした.
DeepBlueMagicの身代金メモはどうですか?
デスクトップの「Helloworld」というテキストファイルにドロップされました。これがそれが言うことです, セキュリティ上の理由から詳細を編集しました:
こんにちは. あなたの会社のサーバーハードドライブは私たちによって暗号化されました.
最も複雑な暗号化アルゴリズムを使用します (AES256). 解読できるのは私たちだけです.
お問い合わせください: [電子メールアドレス 1] (スパムを確認してください, メールの紛失を避ける)
認証コード: ******** (識別コードを教えてください)
お問い合わせください。身代金の金額とお支払い方法をお知らせします。.
(連絡が速い場合, 割引を差し上げます。)
支払いが成功した後, 復号化パスワードを教えます.
あなたが私たちを信じるために, テストサーバーを用意しました. お問い合わせください。テストサーバーに通知し、パスワードを復号化します.
暗号化されたハードドライブをスキャンしたり、データを回復しようとしたりしないでください. データの破損を防ぐ.
!!!
応答しない場合. 別のメールボックスに連絡してください: [電子メールアドレス 2] 最初のメールボックスが正しく機能していない場合にのみ、代替メールボックスを有効にします.
!!!
良いニュースは、このランサムウェアを部分的に回避することが可能であるということです, 少なくとも侵害されたサーバーHeimdalの場合 分析.
「ランサムウェアが暗号化プロセスを開始するだけだったため、影響を受けたサーバーが復元されました, 実際にそれをフォローすることなく. 基本的, DeepBlueMagicランサムウェアは、影響を受けるパーティションのヘッダーのみを暗号化しました, シャドウボリュームのWindows機能を壊すために,」研究者は共有しました.
最近検出されたその他のランサムウェア株には、 カオスランサムウェア と Diavolランサムウェア.