Mimic Ransomware
Quadre de puntuació d'amenaça
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards són informes d'avaluació de diferents amenaces de programari maliciós que han estat recopilats i analitzats pel nostre equip d'investigació. Els quadres de comandament d'amenaces d'EnigmaSoft avaluen i classifiquen les amenaces mitjançant diverses mètriques, com ara factors de risc reals i potencials, tendències, freqüència, prevalença i persistència. EnigmaSoft Threat Scorecards s'actualitzen periòdicament en funció de les nostres dades i mètriques de recerca i són útils per a una àmplia gamma d'usuaris d'ordinadors, des d'usuaris finals que busquen solucions per eliminar programari maliciós dels seus sistemes fins a experts en seguretat que analitzen amenaces.
EnigmaSoft Threat Scorecards mostren una varietat d'informació útil, com ara:
Rànquing: la classificació d'una amenaça particular a la base de dades d'amenaces d'EnigmaSoft.
Nivell de gravetat: el nivell de gravetat determinat d'un objecte, representat numèricament, en funció del nostre procés de modelització de riscos i investigació, tal com s'explica als nostres Criteris d'avaluació de l'amenaça .
Equips infectats: el nombre de casos confirmats i sospitosos d'una amenaça determinada detectats en equips infectats tal com ha informat SpyHunter.
Vegeu també Criteris d'avaluació de l'amenaça .
| Nivell d'amenaça: | 100 % (Alt) |
| Ordinadors infectats: | 2 |
| Primer vist: | February 8, 2023 |
| Vist per últim cop: | March 1, 2023 |
| Sistema operatiu(s) afectat(s): | Windows |
Els investigadors de ciberseguretat han publicat detalls sobre una soca de ransomware desconeguda anteriorment que aprofita les API de Everything, un motor de cerca de noms de fitxers de Windows desenvolupat per Voidtools. Aquest ransomware, rastrejat com Mimic, es va detectar per primera vegada en estat salvatge el juny de 2022 i sembla que s'adreça tant als usuaris de parla russa com a l'anglès.
El ransomware Mimic està equipat amb múltiples capacitats, com ara suprimir les còpies del volum d'ombra, finalitzar diverses aplicacions i serveis i abusar de les funcions Everything32.dll per consultar els fitxers de destinació per al xifratge. Es creu que l'amenaça s'ha desenvolupat almenys parcialment a partir del creador Conti Ransomware que es va filtrar el març del 2022. La informació sobre l'amenaça es va publicar en un informe publicat per experts d'infosec.
Taula de continguts
Imita la cadena d'infecció del ransomware
L'amenaça Mimic es desplega als dispositius violats com un fitxer executable que, al seu torn, deixa caure diversos binaris, inclòs un arxiu protegit amb contrasenya disfressat com Everything64.dll. Aquest arxiu conté la càrrega útil del ransomware. També inclou eines per desactivar el Windows Defender i els binaris sdel legítims.
Quan s'executa el Mimic Ransomware, deixarà els seus components a la carpeta %Temp%/7zipSfx i extreure l'Everything64.dll protegit amb contrasenya al mateix directori mitjançant 7za.exe amb l'ordre: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. A més, deixarà anar un fitxer de clau de sessió anomenat session.tmp al mateix directori, que s'utilitzarà per continuar l'encriptació en cas d'interrupció del procés.
Després, Mimic Ransomware copiarà tots els fitxers deixats caure a '%LocalAppData%{Random GUID}\' abans de canviar el nom a 'bestplacetolive.exe' i suprimir els fitxers originals de %Temp%.
Les capacitats amenaçadores del ransomware Mimic
El ransomware Mimic utilitza diversos fils i la funció CreateThread per xifrar fitxers ràpidament, cosa que dificulta l'anàlisi dels investigadors de seguretat. Té una àmplia gamma de capacitats, com ara recopilar informació del sistema, crear persistència mitjançant la clau RUN, ometre el control de comptes d'usuari (UAC), desactivar Windows Defender i la telemetria, activar mesures anti-apagada, finalitzar processos i serveis, interferir amb la recuperació del sistema i molt més.
Per assolir els seus objectius de xifratge, Mimic Ransomware abusa de Everything32.dll, un motor de cerca legítim de noms de fitxers de Windows, per consultar determinades extensions de fitxers i noms de fitxers per recuperar-ne els camins, ja sigui per xifrar-los o per excloure'ls del procés de xifratge. Després d'encriptar els fitxers de destinació, l'amenaça afegeix l'extensió '.QUIETPLACE' als seus noms. L'amenaça mostra diversos missatges que exigeixen rescat: un durant el procés d'inici, un com a fitxer de text anomenat "Decrypt_me.txt" i un altre que es mostra en una finestra emergent a la pantalla del dispositiu.
El text complet de les demandes de Mimic Ransomware que es troben a la finestra emergent i al fitxer de text és:
'Tots els vostres fitxers s'han xifrat amb el nostre virus.
El teu identificador únic:Podeu comprar el desxifrat total dels vostres fitxers
Però abans de pagar, podeu assegurar-vos que realment podem desxifrar qualsevol dels vostres fitxers.
La clau de xifratge i l'identificador són únics per al vostre ordinador, de manera que podreu tornar els fitxers garantits.Fer això:
1) Envieu el vostre identificador únic i un màxim de 3 fitxers per al desxifrat de prova
ELS NOSTRES CONTACTES
1.1) TOX messenger (ràpid i anònim)
hxxps://tox.chat/download.html
Instal·leu qtox
premeu cantar
crea el teu propi nom
Premeu més
Posa allà el meu identificador de toxicitat
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
I afegeix-me/escriu missatge
1.2) ICQ Messenger
Xat en directe ICQ que funciona les 24 hores del dia - @mcdonaldsdebtzhlob
Instal·leu el programari ICQ al vostre PC aquí hxxps://icq.com/windows/ o al vostre telèfon intel·ligent cerqueu "ICQ" a Appstore/Google market
Escriu al nostre ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Skype
MCDONALDSDEBTZHLOB DESCIFRACIÓ
4) Correu electrònic (escriu només en situacions crítiques perquè el teu correu electrònic no s'entrega o no s'entrega en correu brossa) mcdonaldsdebtzhlob@onionmail.orgA l'assumpte, escriviu el vostre identificador de desxifrat: -
Després del desxifrat, us enviarem els fitxers desxifrats i una cartera bitcoin única per al pagament.
Després del pagament del rescat per Bitcoin, us enviarem un programa de desxifrat i instruccions. Si podem desxifrar els vostres fitxers, no tenim cap motiu per enganyar-vos després del pagament.Preguntes freqüents:
Puc obtenir un descompte?
No. L'import del rescat es calcula en funció del nombre de fitxers d'oficina xifrats i no s'ofereixen descomptes. Tots aquests missatges seran ignorats automàticament. Si realment només voleu alguns dels fitxers, comprimiu-los i pengeu-los en algun lloc. Els descodificarem pel preu d'1 fitxer = 1$.
Què és Bitcoin?
llegiu bitcoin.org
On comprar bitcoins?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (forma més ràpida)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
o utilitzeu google.com per trobar informació sobre on comprar-lo
On és la garantia que rebré els meus fitxers de tornada?
El fet mateix que puguem desxifrar els vostres fitxers aleatoris és una garantia. No té sentit que t'enganyem.
Amb quina rapidesa rebré la clau i el programa de desxifrat després del pagament?
Per regla general, durant 15 min
Com funciona el programa de desxifrat?
És fàcil. Heu d'executar el nostre programari. El programa desxifrarà automàticament tots els fitxers xifrats del vostre disc dur.'
Detalls del sistema de fitxers
| # | Nom de l'arxiu | MD5 |
Deteccions
Deteccions: el nombre de casos confirmats i sospitosos d'una amenaça determinada detectats en ordinadors infectats tal com ha informat SpyHunter.
|
|---|---|---|---|
| 1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |
