Mimic Ransomware
التهديدات بطاقة الأداء
EnigmaSoft بطاقة أداء التهديد
EnigmaSoft Threat Scorecards عبارة عن تقارير تقييم لتهديدات البرامج الضارة المختلفة والتي تم جمعها وتحليلها من قبل فريق البحث لدينا. تقوم بطاقات أداء التهديد EnigmaSoft بتقييم وتصنيف التهديدات باستخدام العديد من المقاييس بما في ذلك عوامل الخطر الواقعية والمحتملة ، والاتجاهات ، والتكرار ، والانتشار ، والمثابرة. يتم تحديث بطاقات EnigmaSoft Threat Scorecards بانتظام بناءً على بيانات ومقاييس البحث لدينا وهي مفيدة لمجموعة واسعة من مستخدمي الكمبيوتر ، من المستخدمين النهائيين الذين يبحثون عن حلول لإزالة البرامج الضارة من أنظمتهم إلى خبراء الأمن الذين يقومون بتحليل التهديدات.
تعرض بطاقات أداء التهديد EnigmaSoft مجموعة متنوعة من المعلومات المفيدة ، بما في ذلك:
الترتيب: ترتيب تهديد معين في EnigmaSoft's Threat Database.
مستوى الخطورة: مستوى الخطورة المحدد لشيء ما ، ممثلاً عدديًا ، بناءً على عملية نمذجة المخاطر والبحث لدينا ، كما هو موضح في معايير تقييم التهديدات الخاصة بنا.
أجهزة الكمبيوتر المصابة: عدد الحالات المؤكدة والمشتبه فيها لتهديد معين تم اكتشافه على أجهزة الكمبيوتر المصابة كما تم الإبلاغ عنها بواسطة SpyHunter.
راجع أيضًا معايير تقييم التهديد .
| مستوى التهديد: | 100 % (عالي) |
| أجهزة الكمبيوتر المصابة: | 2 |
| الروية الأولى: | February 8, 2023 |
| اخر ظهور: | March 1, 2023 |
| نظام (أنظمة) متأثر: | Windows |
أصدر باحثو الأمن السيبراني تفاصيل حول سلسلة برامج الفدية غير المعروفة سابقًا والتي تستفيد من واجهات برمجة التطبيقات الخاصة بكل شيء ، وهو محرك بحث باسم ملف Windows تم تطويره بواسطة Voidtools. تم رصد برنامج الفدية هذا ، الذي تم تتبعه على أنه Mimic ، لأول مرة في البرية في يونيو 2022 ويبدو أنه يستهدف المستخدمين الناطقين باللغة الروسية والإنجليزية.
تم تجهيز Mimic Ransomware بقدرات متعددة ، مثل حذف نسخ Shadow Volume ، وإنهاء تطبيقات وخدمات متعددة ، وإساءة استخدام وظائف Everything32.dll للاستعلام عن الملفات الهدف للتشفير. يُعتقد أن التهديد قد تم تطويره جزئيًا على الأقل من مُنشئ Conti Ransomware الذي تم تسريبه مرة أخرى في مارس 2022. تم نشر معلومات حول التهديد في تقرير صادر عن خبراء Infosec.
جدول المحتويات
سلسلة العدوى في Mimic Ransomware
يتم نشر تهديد Mimic على الأجهزة التي تم اختراقها كملف قابل للتنفيذ والذي بدوره يسقط ثنائيات متعددة ، بما في ذلك أرشيف محمي بكلمة مرور متخفي باسم Everything64.dll. يحتوي هذا الأرشيف على حمولة برامج الفدية. يتضمن أيضًا أدوات لتعطيل Windows Defender وثنائيات sdel المشروعة.
عند تنفيذ Mimic Ransomware ، سيتم إسقاط مكوناته إلى المجلد٪ Temp٪ / 7zipSfx واستخراج ملف Everything64.dll المحمي بكلمة مرور إلى نفس الدليل باستخدام 7za.exe بالأمر:٪ Temp٪ \ 7ZipSfx.000 \ 7za .exe "x -y -p20475326413135730160 Everything64.dll. بالإضافة إلى ذلك ، سيتم إسقاط ملف مفتاح جلسة يسمى session.tmp إلى نفس الدليل ، والذي سيتم استخدامه لمواصلة التشفير في حالة انقطاع العملية.
بعد ذلك ، سيقوم Mimic Ransomware بنسخ جميع الملفات التي تم إسقاطها إلى '٪ LocalAppData٪ {Random GUID} \' قبل إعادة تسمية نفسها إلى 'bestplacetolive.exe' وحذف الملفات الأصلية من٪ Temp٪.
قدرات التهديد لـ Mimic Ransomware
يستخدم Mimic Ransomware العديد من مؤشرات الترابط ووظيفة CreateThread لتشفير الملفات بسرعة ، مما يجعل من الصعب على الباحثين الأمنيين تحليلها. لديها مجموعة واسعة من القدرات ، مثل جمع معلومات النظام ، وخلق الثبات عبر مفتاح RUN ، وتجاوز التحكم في حساب المستخدم (UAC) ، وتعطيل Windows Defender والقياس عن بُعد ، وتفعيل تدابير منع إيقاف التشغيل ، وإنهاء العمليات والخدمات ، والتدخل في استرداد النظام والمزيد.
لتحقيق أهداف التشفير الخاصة به ، يسيء Mimic Ransomware استخدام Everything32.dll - محرك بحث شرعي باسم ملف Windows - للاستعلام عن بعض امتدادات الملفات وأسماء الملفات لاسترداد مساراتها ، إما للتشفير أو لاستبعادها من عملية التشفير. بعد تشفير الملفات الهدف ، يقوم التهديد بإلحاق الامتداد ".QUIETPLACE" بأسمائها. يعرض التهديد عدة رسائل تتطلب فدية - واحدة أثناء عملية بدء التشغيل ، وواحدة كملف نصي باسم "Decrypt_me.txt" ، والأخرى التي تظهر في نافذة منبثقة على شاشة الجهاز.
النص الكامل لمطالب Mimic Ransomware الموجودة في النافذة المنبثقة والملف النصي هو:
تم تشفير جميع ملفاتك باستخدام فيروسنا.
المعرف الفريد الخاص بك:
يمكنك شراء فك تشفير كامل لملفاتك
ولكن قبل أن تدفع ، يمكنك التأكد من أنه يمكننا بالفعل فك تشفير أي من ملفاتك.
مفتاح التشفير والمعرف فريدان لجهاز الكمبيوتر الخاص بك ، لذلك نضمن لك إمكانية إرجاع ملفاتك.
لفعل هذا:
1) أرسل معرّفك الفريد - و 3 ملفات كحد أقصى لفك تشفير الاختبار
لدينا اتصالات
1.1) TOX messenger (سريع وسهل)
hxxps: //tox.chat/download.html
قم بتثبيت برنامج qtox
اضغط على الغناء
أنشئ اسمك الخاص
اضغط زائد
ضع هناك معرف السموم الخاص بي
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
وأضفني / اكتب رسالة
1.2) ICQ رسول
ICQ الدردشة الحية التي تعمل على مدار الساعة طوال أيام الأسبوع -mcdonaldsdebtzhlob
قم بتثبيت برنامج ICQ على جهاز الكمبيوتر الخاص بك هنا hxxps: //icq.com/windows/ أو على هاتفك الذكي ابحث عن "ICQ" في Appstore / Google market
اكتب إلى ICQpedrolloanisimka hxxps: //icq.im/mcdonaldsdebtzhlob
1.3) سكايب
انحلال ماكدونالدز ديبتزلوب
4) البريد (اكتب فقط في المواقف الحرجة bcs قد لا يتم تسليم بريدك الإلكتروني أو تلقيه في رسائل غير مرغوب فيها) mcdonaldsdebtzhlob@onionmail.org
في سطر الموضوع ، يرجى كتابة معرف فك التشفير الخاص بك: -
بعد فك التشفير ، سنرسل لك الملفات التي تم فك تشفيرها ومحفظة بيتكوين فريدة للدفع.
بعد دفع فدية مقابل Bitcoin ، سنرسل لك برنامج فك التشفير والتعليمات. إذا تمكنا من فك تشفير ملفاتك ، فليس لدينا سبب لخداعك بعد الدفع.
التعليمات:
هل يمكنني الحصول على خصم؟
لا ، يتم احتساب مبلغ الفدية بناءً على عدد ملفات المكتب المشفرة ولا يتم توفير الخصومات. سيتم تجاهل كل هذه الرسائل تلقائيًا. إذا كنت تريد حقًا بعض الملفات فقط ، فاضغط عليها وقم بتحميلها في مكان ما. سنقوم بفك شفرتها بسعر ملف واحد = 1 دولار.
ما هو البيتكوين؟
اقرأ bitcoin.org
من أين تشتري عملات البيتكوين؟
hxxps: //www.alfa.cash/buy-crypto-with-credit-card (أسرع طريقة)
buy.coingate.com
hxxps: //bitcoin.org/en/buy
hxxps: //buy.moonpay.io
binance.com
أو استخدم google.com للعثور على معلومات مكان شرائها
أين هو الضمان أنني سأستعيد ملفاتي؟
حقيقة أنه يمكننا فك تشفير ملفاتك العشوائية هي ضمان. لا معنى لنا أن نخدعك.
ما مدى سرعة استلام المفتاح وبرنامج فك التشفير بعد الدفع؟
كقاعدة عامة ، خلال 15 دقيقة
كيف يعمل برنامج فك التشفير؟
انه سهل. تحتاج إلى تشغيل برنامجنا. سيقوم البرنامج تلقائيًا بفك تشفير جميع الملفات المشفرة على محرك الأقراص الثابتة الخاص بك.
ملف تفاصيل النظام
| # | اسم الملف | MD5 |
الاكتشافات
الاكتشافات: عدد الحالات المؤكدة والمشتبه فيها لخطر معين تم اكتشافه على أجهزة الكمبيوتر المصابة كما أبلغت عنه SpyHunter.
|
|---|---|---|---|
| 1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |
