Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Новое вымогательское ПО использует шифрование на уровне жестких дисков

18/08/21

hack58-Aug-18-2021-09-10-27-39-AMСпециалисты ИБ-компании Heimdal Security обнаружили новое семейство вымогательского ПО, использующее пока что редко встречающуюся, но уже вызывающую беспокойство технику шифрования данных в атакуемой среде. Как пояснили эксперты, вместо того чтобы шифровать файлы на конечных точках, как это делает большинство программ-вымогателей, DeepBlueMagic атакует жесткие диски на корпоративных серверах.

Для шифрования всех жестких дисков (за исключением системного диска C:\) на Windows Server 2012 R2 новое вымогательское ПО использует легитимный инструмент BestCrypt Volume Encryption от компании Jetico. Эксперты Heimdal обнаружили этот инструмент вместе с восстановительным файлом (rescue.rsc), обычно использующимся ПО Jetico для восстановления поврежденных томов, на системном диске зараженной машины. Однако в данном случае восстановительный файл также был зашифрован, и для его открытия требовался пароль.

Каким образом злоумышленники проникли в скомпрометированную систему, специалистам выяснить не удалось. Получить образец оригинального исполняемого файла также не представлялось возможным, поскольку DeepBlueMagic удалил себя с зараженной системы.

По словам специалистов, вредонос начинает процесс шифрования диска D:\, но по непонятным причинам практически сразу же завершает его. Это приводит к частичному шифрованию диска и превращения его в том RAW, то есть, том с поврежденной структурой файловой системы и поэтому нераспознаваемой операционной системой.

При каждой попытке доступа к диску интерфейс ОС Windows OS будет предлагать отформатировать его, поскольку после шифрования он выглядит как поврежденный. Как правило, для восстановления поврежденного тома инструмент Jetico использует восстановительный файл, но в случае с DeepBlueMagic это невозможно, поскольку восстановительный файл тоже зашифрован.

Темы:жесткие дискиWindowsУгрозыВымогателишифровальщики
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...