Новое вымогательское ПО использует шифрование на уровне жестких дисков

Специалисты ИБ-компании Heimdal Security обнаружили новое семейство вымогательского ПО, использующее пока что редко встречающуюся, но уже вызывающую беспокойство технику шифрования данных в атакуемой среде. Как пояснили эксперты, вместо того чтобы шифровать файлы на конечных точках, как это делает большинство программ-вымогателей, DeepBlueMagic атакует жесткие диски на корпоративных серверах.

Для шифрования всех жестких дисков (за исключением системного диска C:) на Windows Server 2012 R2 новое вымогательское ПО использует легитимный инструмент BestCrypt Volume Encryption от компании Jetico. Эксперты Heimdal обнаружили этот инструмент вместе с восстановительным файлом (rescue.rsc), обычно использующимся ПО Jetico для восстановления поврежденных томов, на системном диске зараженной машины. Однако в данном случае восстановительный файл также был зашифрован, и для его открытия требовался пароль.

Каким образом злоумышленники проникли в скомпрометированную систему, специалистам выяснить не удалось. Получить образец оригинального исполняемого файла также не представлялось возможным, поскольку DeepBlueMagic удалил себя с зараженной системы.

По словам специалистов, вредонос начинает процесс шифрования диска D:, но по непонятным причинам практически сразу же завершает его. Это приводит к частичному шифрованию диска и превращения его в том RAW, то есть, том с поврежденной структурой файловой системы и поэтому нераспознаваемой операционной системой.

При каждой попытке доступа к диску интерфейс ОС Windows OS будет предлагать отформатировать его, поскольку после шифрования он выглядит как поврежденный. Как правило, для восстановления поврежденного тома инструмент Jetico использует восстановительный файл, но в случае с DeepBlueMagic это невозможно, поскольку восстановительный файл тоже зашифрован.