Эксперты компании Heimdal Security обнаружили новое семейство вирусов-вымогателей, использующих редкую технику шифрования данных при реализации атаки. Вместо того чтобы шифровать файлы на конечных точках, как это делает большинство вредоносов, DeepBlueMagic атакует сразу целые дисковые разделы на корпоративных серверах.

Для шифрования всех жестких дисков (за исключением системного диска C:\) на Windows Server 2012 R2 новое вымогательское ПО использует легитимный инструмент BestCrypt Volume Encryption от компании Jetico. Эксперты Heimdal обнаружили этот инструмент вместе с восстановительным файлом (rescue.rsc), обычно использующимся ПО Jetico для восстановления поврежденных томов, на системном диске зараженной машины. Однако в данном случае восстановительный файл также был зашифрован, и для его открытия требовался пароль.

Способ проникновения в скомпрометированную систему на данный момент специалистам выяснить не удалось. Получить образец оригинального исполняемого файла также не представлялось возможным, поскольку DeepBlueMagic удалил себя с зараженной системы.

По словам специалистов, вирус-вымогатель начинает процесс шифрования диска D:\, но по непонятным причинам практически сразу же завершает его. Это приводит к частичному шифрованию диска и разрушению структуры файловой системы, после чего диск больше не распознается операционной системой.

При каждой попытке доступа к разделу на диске Windows будет предлагать отформатировать его, поскольку после шифрования он выглядит как поврежденный. Как правило, для восстановления поврежденного тома инструмент Jetico использует восстановительный файл, но в случае с DeepBlueMagic это невозможно, поскольку восстановительный файл тоже зашифрован.

Для защиты информации ИБ-эксперты рекомендуют в обязательном порядке делать резервное копирование важных данных, пользоваться антивирусами с актуальной базой и своевременно устанавливать обновления операционной системы.

Резервирование информации должно выполняться регулярно и в автоматическом режиме без привлечения пользователей и администраторов. Бэкапы лучше всего хранить одновременно в нескольких местах и, как минимум, одну резервную копию лучше всего хранить в облачном хранилище.

Сервис облачного резервирования BACKUPRENT поможет вам правильно организовать процесс резервирования данных, строго следуя правилу 3-2-1 и разместит бэкапы в надежном специализированном облачном хранилище.

Мы уже выделили для вас 500 Гб в облачном хранилище на пробный бесплатный 30-дневный период. Подайте заявку на пробный доступ прямо сейчас и защитите критически важные данные вашей компании от шифровальщиков.