MIRROR рансъмуер
След задълбочен анализ на потенциални заплахи от зловреден софтуер, изследователите категорично идентифицираха MIRROR като вариант на рансъмуер. Основната цел на заплахата MIRROR е да криптира файлове, налични на компрометирани устройства. Освен това той предприема преименуване на файлове и издава две бележки за откуп – едната под формата на изскачащ прозорец, а другата като текстов файл с име „info-MIRROR.txt“.
Рансъмуерът MIRROR използва специфична конвенция за именуване на файловете, които криптира, като добавя ID на жертвата, имейл адрес „tpyrcedrorrim@tuta.io“ и разширение „.Mr“. Например, той трансформира „1.pdf“ в „1.pdf.id-9ECFA74E.[tpyrcedrorrim@tuta.io].Mr,“ и „2.png“ става „2.png.id-9ECFA74E.[tpyrcedrorrim@ tuta.io].Mr,' и така нататък. Тази конкретна заплаха е категоризирана като вариант в семейството на Dharma Ransomware .
Съдържание
Рансъмуерът MIRROR отива отвъд шифроването на файлове
В допълнение към криптирането на файлове, MIRROR използва стратегически мерки за допълнително компрометиране на сигурността на целевата система. Една такава тактика включва деактивиране на защитната стена, като по този начин се повишава уязвимостта на системата към злонамерените дейности, организирани от рансъмуера. Освен това MIRROR предприема целенасочени действия за изтриване на Shadow Volume Copies, като ефективно елиминира потенциални точки за възстановяване и възпрепятства усилията за възстановяване.
MIRROR се възползва от уязвимостите в услугите на протокола за отдалечен работен плот (RDP) като основен вектор за инфекция. Това обикновено включва използване на слаби идентификационни данни на акаунт чрез методи като груба сила и речникови атаки. Използвайки тези техники, рансъмуерът получава неоторизиран достъп до системи, особено тези с неадекватно управлявана сигурност на акаунта.
Освен това MIRROR показва способността да извлича данни за местоположение, което му позволява да разпознае географския контекст на заразените системи. По-специално, той притежава способността да изключва предварително определени местоположения от своя обхват за извличане на данни. Освен това MIRROR включва механизми за устойчивост, гарантиращи, че може да поддържа опора в компрометираната система за продължителен период от време.
Жертвите на рансъмуера MIRROR са изнудвани за пари
Бележката за откуп на MIRROR Ransomware служи като съобщение от нападателите към жертвата, като изрично посочва, че всички файлове на жертвата са били криптирани. Той очертава потенциален път за възстановяване на файлове, като инструктира жертвата да започне контакт чрез определен имейл адрес (tpyrcedrorrim@tuta.io) и предоставя уникален идентификатор.
Като алтернативно средство за комуникация, бележката предоставя и друг имейл адрес (mirrorrorrim@cock.li). По-специално, бележката силно обезсърчава използването на посредници за комуникация, посочвайки потенциални рискове като надценяване, неоправдан дебит и отхвърляне на транзакция. Нападателите твърдят, че са способни да предоставят криптирани услуги за възстановяване на данни и предлагат гаранции, включително демонстрация на възстановяване, включваща до три файла, за да обосноват своята компетентност.
Освен това бележката за откуп издава предупредителен съвет към жертвата, като изрично препоръчва да не се преименуват криптирани файлове. Той също така предупреждава срещу опити за декриптиране чрез софтуер на трета страна, като подчертава потенциалните последици от постоянна загуба на данни или податливост на измами. Намерението е да насочи жертвата към най-безопасния курс на действие, за да увеличи максимално шансовете за успешно възстановяване на файлове, като същевременно минимизира потенциалните рискове.
Вземете мерки за укрепване на вашите устройства срещу инфекции с рансъмуер
Рансъмуерът представлява значителна заплаха за сигурността на цифровите устройства с потенциални последици, вариращи от загуба на данни до финансово изнудване. Прилагането на проактивни мерки е от решаващо значение за укрепване на устройствата срещу такива инфекции. Ето пет ефективни стъпки, които потребителите могат да предприемат:
- Актуализирайте редовно операционните системи и софтуера : Поддържането на операционните системи и софтуера актуални е жизненоважно, тъй като актуализациите често включват корекции за сигурност, които адресират уязвимостите. Редовно проверявайте и прилагайте актуализации, за да намалите риска от ransomware, използващ известни слабости.
- Инсталирайте и поддържайте софтуер за сигурност : Използването на надежден софтуер за сигурност дава допълнителен слой на защита срещу ransomware. Уверете се, че програмата против злонамерен софтуер се актуализира редовно и провеждайте планирани сканирания, за да откриете и елиминирате потенциални заплахи, преди да могат да компрометират вашето устройство.
- Бъдете внимателни с прикачените файлове и връзки към имейли : Рансъмуерът често прониква в системи чрез фишинг имейли, съдържащи злонамерени прикачени файлове или връзки. Бъдете много внимателни, когато отваряте имейли от неизвестни податели, опитайте се да не щраквате върху подозрителни връзки и се въздържайте от изтегляне на прикачени файлове, освен ако тяхната легитимност не е проверена.
- Редовно архивиране на данни : Създаването на редовни архиви на основни данни е критична превантивна мярка. При атака на ransomware, последните резервни копия позволяват на потребителите да възстановят своите файлове, без да се поддават на изнудване. Съхранявайте резервни копия на външно устройство или защитена облачна услуга.
- Прилагане на мерки за мрежова сигурност : Укрепването на мрежовата сигурност може да осуети атаките на ransomware. Използвайте защитни стени и системи за откриване/предотвратяване на проникване, използвайте уникални и силни пароли за всички устройства и акаунти и помислете за сегментиране на мрежи, за да ограничите потенциалното въздействие на инфекция върху цялата система.
Чрез приемането на тези мерки потребителите могат значително да подобрят устойчивостта на своите устройства срещу рансъмуер, защитавайки своите ценни данни и поддържайки целостта на своята цифрова среда.
Пълният текст на основната бележка за откуп, оставена от MIRROR Ransomware, е:
'MIRROR
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: tpyrcedrorrim@tuta.io YOUR ID 9ECFA84E
If you have not answered by mail within 12 hours, write to us by another mail:mirrorrorrim@cock.li
We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.
-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.
Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
Текстовият файл, пуснат от MIRROR Ransomware, съдържа следното съобщение:
'всички ваши данни са заключени за нас
Искаш ли да се върнеш?
напишете имейл tpyrcedrorrim@tuta.io или mirrorrorrim@cock.li'
