Имитиращ рансъмуер

Изследователите на киберсигурността публикуваха подробности за неизвестен досега щам на рансъмуер, който се възползва от API на Everything, машина за търсене на имена на файлове на Windows, разработена от Voidtools. Този ransomware, проследяван като Mimic, беше забелязан за първи път в дивата природа през юни 2022 г. и изглежда, че е насочен както към руски, така и към англоговорящи потребители.

Mimic Ransomware е снабден с множество възможности, като изтриване на Shadow Volume Copies, прекратяване на множество приложения и услуги и злоупотреба с функциите на Everything32.dll за запитване към целеви файлове за криптиране. Смята се, че заплахата е поне частично разработена от създателя на Conti Ransomware , който изтече през март 2022 г. Информацията за заплахата беше публикувана в доклад, публикуван от експерти по информационна сигурност.

Имитиране на веригата за заразяване на Ransomware

Заплахата Mimic се внедрява на пробитите устройства като изпълним файл, който от своя страна премахва множество двоични файлове, включително защитен с парола архив, маскиран като Everything64.dll. Този архив съдържа полезния товар на ransomware. Той също така включва инструменти за деактивиране на Windows Defender и легитимни двоични файлове на sdel.

Когато Mimic Ransomware се изпълни, той ще пусне компонентите си в папката %Temp%/7zipSfx и ще извлече защитения с парола Everything64.dll в същата директория с помощта на 7za.exe с командата: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. Освен това ще пусне файл с ключ на сесия, наречен session.tmp, в същата директория, която ще се използва за продължаване на криптирането в случай на прекъсване на процеса.

След това Mimic Ransomware ще копира всички изпуснати файлове в „%LocalAppData%{Random GUID}\“, преди да се преименува на „bestplacetolive.exe“ и да изтрие оригиналните файлове от %Temp%.

Заплашващите възможности на мимическия рансъмуер

Mimic Ransomware използва множество нишки и функцията CreateThread за бързо криптиране на файлове, което затруднява анализирането на изследователите по сигурността. Той има широк набор от възможности, като събиране на системна информация, създаване на устойчивост чрез клавиша RUN, заобикаляне на контрола на потребителските акаунти (UAC), деактивиране на Windows Defender и телеметрия, активиране на мерки против изключване, прекратяване на процеси и услуги, намеса в възстановяване на системата и други.

За да постигне целите си за криптиране, Mimic Ransomware злоупотребява с Everything32.dll – легитимна машина за търсене на имена на файлове на Windows – за да прави заявки за определени файлови разширения и имена на файлове, за да извлече техните пътища, или за криптиране, или за да ги изключи от процеса на криптиране. След криптиране на целевите файлове, заплахата добавя разширението „.QUIETPLACE“ към техните имена. Заплахата показва множество съобщения, изискващи откуп – едно по време на процеса на стартиране, едно като текстов файл с име „Decrypt_me.txt“ и друго, което се показва в изскачащ прозорец на екрана на устройството.

Пълният текст на исканията на Mimic Ransomware, намерени в изскачащия прозорец и текстовия файл, е:

„Всички ваши файлове са криптирани с нашия вирус.
Вашият уникален ID:

Можете да закупите пълно дешифриране на вашите файлове
Но преди да платите, можете да се уверите, че наистина можем да дешифрираме всеки от вашите файлове.
Ключът за криптиране и идентификаторът са уникални за вашия компютър, така че гарантирано ще можете да върнете вашите файлове.

Да го направя:
1) Изпратете своя уникален идентификатор - и максимум 3 файла за тестово дешифриране
НАШИТЕ КОНТАКТИ
1.1) TOX месинджър (бърз и анонимен)
hxxps://tox.chat/download.html
Инсталирайте qtox
натиснете пейте
създайте свое собствено име
Натиснете плюс
Поставете моя токсикологичен номер
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
И ме добавете/напишете съобщение
1.2) ICQ Messenger
ICQ чат на живо, който работи 24/7 - @mcdonaldsdebtzhlob
Инсталирайте софтуера ICQ на компютъра си тук hxxps://icq.com/windows/ или на вашия смартфон потърсете „ICQ“ в Appstore / Google market
Пишете на нашия ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Skype
MCDONALDSDEBTZHLOB ДЕКРИПЦИЯ
4) Поща (пишете само в критични ситуации, защото вашият имейл може да не бъде доставен или да попадне в спам) mcdonaldsdebtzhlob@onionmail.org

В реда за тема, моля, напишете вашия идентификатор за дешифриране: -

След декриптиране ще ви изпратим декриптираните файлове и уникален биткойн портфейл за плащане.
След плащане на откупа за биткойни, ние ще ви изпратим програма за дешифриране и инструкции. Ако можем да дешифрираме вашите файлове, нямаме причина да ви измамим след плащане.

ЧЗВ:
Мога ли да получа отстъпка?
Не. Сумата на откупа се изчислява въз основа на броя криптирани офис файлове и не се предоставят отстъпки. Всички подобни съобщения ще бъдат автоматично игнорирани. Ако наистина искате само някои от файловете, компресирайте ги и ги качете някъде. Ще ги декодираме на цената на 1 файл = 1$.
Какво е биткойн?
прочетете bitcoin.org
Къде да купя биткойни?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (най-бързият начин)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
или използвайте google.com, за да намерите информация къде да го закупите
Къде е гаранцията, че ще получа обратно файловете си?
Самият факт, че можем да дешифрираме вашите произволни файлове, е гаранция. Няма смисъл да ви заблуждаваме.
Колко бързо ще получа ключа и програмата за дешифриране след плащане?
По правило в продължение на 15 мин
Как работи програмата за дешифриране?
Просто е. Трябва да стартирате нашия софтуер. Програмата автоматично ще дешифрира всички криптирани файлове на вашия твърд диск.'