Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Новое вымогательское ПО использует шифрование на уровне жестких дисков

18/08/21

hack58-Aug-18-2021-09-10-27-39-AMСпециалисты ИБ-компании Heimdal Security обнаружили новое семейство вымогательского ПО, использующее пока что редко встречающуюся, но уже вызывающую беспокойство технику шифрования данных в атакуемой среде. Как пояснили эксперты, вместо того чтобы шифровать файлы на конечных точках, как это делает большинство программ-вымогателей, DeepBlueMagic атакует жесткие диски на корпоративных серверах.

Для шифрования всех жестких дисков (за исключением системного диска C:\) на Windows Server 2012 R2 новое вымогательское ПО использует легитимный инструмент BestCrypt Volume Encryption от компании Jetico. Эксперты Heimdal обнаружили этот инструмент вместе с восстановительным файлом (rescue.rsc), обычно использующимся ПО Jetico для восстановления поврежденных томов, на системном диске зараженной машины. Однако в данном случае восстановительный файл также был зашифрован, и для его открытия требовался пароль.

Каким образом злоумышленники проникли в скомпрометированную систему, специалистам выяснить не удалось. Получить образец оригинального исполняемого файла также не представлялось возможным, поскольку DeepBlueMagic удалил себя с зараженной системы.

По словам специалистов, вредонос начинает процесс шифрования диска D:\, но по непонятным причинам практически сразу же завершает его. Это приводит к частичному шифрованию диска и превращения его в том RAW, то есть, том с поврежденной структурой файловой системы и поэтому нераспознаваемой операционной системой.

При каждой попытке доступа к диску интерфейс ОС Windows OS будет предлагать отформатировать его, поскольку после шифрования он выглядит как поврежденный. Как правило, для восстановления поврежденного тома инструмент Jetico использует восстановительный файл, но в случае с DeepBlueMagic это невозможно, поскольку восстановительный файл тоже зашифрован.

Темы:жесткие дискиWindowsУгрозыВымогателишифровальщики
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...