MIRROR Ransomware

Po důkladné analýze potenciálních malwarových hrozeb výzkumníci přesvědčivě identifikovali MIRROR jako variantu ransomwaru. Primárním cílem hrozby MIRROR je šifrování souborů na kompromitovaných zařízeních. Kromě toho provádí přejmenování souborů a vydává dvě výkupné – jednu ve formě vyskakovacího okna a druhou jako textový soubor s názvem „info-MIRROR.txt“.

MIRROR Ransomware používá specifickou konvenci pojmenování pro soubory, které šifruje, a připojuje k nim ID oběti, e-mailovou adresu 'tpyrcedorrim@tuta.io' a příponu '.Mr'. Například transformuje „1.pdf“ na „1.pdf.id-9ECFA74E.[tpyrcedorrim@tuta.io].Mr“ a „2.png“ se změní na „2.png.id-9ECFA74E.[tpyrcedorrim@ tuta.io].Pan' a tak dále. Tato konkrétní hrozba byla kategorizována jako varianta v rámci rodiny Dharma Ransomware .

MIRROR Ransomware jde nad rámec šifrování souborů

Kromě šifrování souborů využívá MIRROR strategická opatření k dalšímu ohrožení zabezpečení cílového systému. Jednou z takových taktik je deaktivace firewallu, čímž se zvýší zranitelnost systému vůči škodlivým aktivitám organizovaným ransomwarem. MIRROR navíc podniká záměrné akce k vymazání stínových kopií svazku, čímž účinně eliminuje potenciální body obnovení a brání úsilí o obnovu.

MIRROR využívá slabá místa ve službách protokolu RDP (Remote Desktop Protocol) jako primární vektor infekce. To obvykle zahrnuje zneužití slabých přihlašovacích údajů k účtu pomocí metod, jako je hrubá síla a slovníkové útoky. Využitím těchto technik získává ransomware neoprávněný přístup k systémům, zejména k těm s nedostatečně spravovaným zabezpečením účtu.

Kromě toho MIRROR vykazuje schopnost extrahovat data o poloze, což mu umožňuje rozpoznat geografický kontext infikovaných systémů. Zejména má schopnost vyloučit předem určená umístění z rozsahu extrakce dat. MIRROR navíc obsahuje mechanismy perzistence, které zajišťují, že dokáže udržet oporu v napadeném systému po delší dobu.

Oběti MIRROR Ransomware jsou vydírány za peníze

Výkupné MIRROR Ransomware slouží jako komunikace od útočníků k oběti, výslovně uvádí, že všechny soubory oběti byly zašifrovány. Nastiňuje potenciální cestu pro obnovení souboru, instruuje oběť, aby zahájila kontakt prostřednictvím zadané e-mailové adresy (tpyrcedorrim@tuta.io) a poskytuje jedinečný identifikátor.

Jako alternativní způsob komunikace je v poznámce uvedena i další e-mailová adresa (mirrorrorrim@cock.li). Sdělení důrazně odrazuje od využívání zprostředkovatelů pro komunikaci a uvádí potenciální rizika, jako je předražení, neodůvodněné debetní poplatky a odmítnutí transakce. Útočníci prohlašují svou schopnost poskytovat šifrované služby pro obnovu dat a nabízejí záruky, včetně ukázky obnovy zahrnující až tři soubory, které dokládají jejich odbornost.

Výkupné navíc oběti vydává varovné upozornění, které výslovně doporučuje nepřejmenovávat zašifrované soubory. Varuje také před pokusy o dešifrování prostřednictvím softwaru třetích stran, přičemž zdůrazňuje potenciální důsledky trvalé ztráty dat nebo náchylnosti k podvodům. Záměrem je navést oběť na nejbezpečnější postup, aby se maximalizovaly šance na úspěšnou obnovu souboru a zároveň se minimalizovala potenciální rizika.

Proveďte opatření k posílení svých zařízení proti ransomwarovým infekcím

Ransomware představuje významnou hrozbu pro bezpečnost digitálních zařízení s potenciálními důsledky od ztráty dat až po finanční vydírání. Implementace proaktivních opatření je zásadní pro posílení zařízení proti takovým infekcím. Zde je pět účinných kroků, které mohou uživatelé podniknout:

• Pravidelně aktualizujte operační systémy a software : Udržování aktuálních operačních systémů a softwaru je životně důležité, protože aktualizace často obsahují bezpečnostní záplaty, které řeší slabá místa. Pravidelně kontrolujte a používejte aktualizace, abyste snížili riziko, že ransomware zneužije známé slabiny.
• Instalace a údržba bezpečnostního softwaru : Využití důvěryhodného bezpečnostního softwaru poskytuje další vrstvu obrany proti ransomwaru. Zajistěte, aby byl antimalwarový program pravidelně aktualizován a provádějte plánovaná prověřování za účelem zjištění a odstranění potenciálních hrozeb dříve, než mohou kompromitovat vaše zařízení.
• Buďte opatrní s e-mailovými přílohami a odkazy : Ransomware často infiltruje systémy prostřednictvím phishingových e-mailů obsahujících škodlivé přílohy nebo odkazy. Buďte velmi opatrní při otevírání e-mailů od neznámých odesílatelů, snažte se neklikat na podezřelé odkazy a zdržet se stahování příloh, pokud není ověřena jejich legitimita.
• Zálohujte data pravidelně : Vytváření pravidelných záloh důležitých dat je zásadní preventivní opatření. V případě ransomwarového útoku umožňují nedávné zálohy uživatelům obnovit jejich soubory, aniž by podlehli vydírání. Ukládejte zálohy na externí zařízení nebo zabezpečenou cloudovou službu.
• Implementujte opatření pro zabezpečení sítě : Posílení zabezpečení sítě může zmařit útoky ransomwaru. Používejte firewally a systémy detekce/prevence narušení, používejte jedinečná a silná hesla pro všechna zařízení a účty a zvažte segmentaci sítí, abyste omezili potenciální dopad infekce na celý systém.

Přijetím těchto opatření mohou uživatelé výrazně zvýšit odolnost svých zařízení proti ransomwaru, chránit svá cenná data a udržovat integritu svého digitálního prostředí.

Úplný text hlavní poznámky o výkupném, kterou zanechal MIRROR Ransomware, je:

'MIRROR
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: tpyrcedrorrim@tuta.io YOUR ID 9ECFA84E
If you have not answered by mail within 12 hours, write to us by another mail:mirrorrorrim@cock.li
We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.
-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.
Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Textový soubor vynechaný MIRROR Ransomware obsahuje následující zprávu:

„Všechna vaše data byla zablokována

Chcete se vrátit?

napište email tpyrcedorrim@tuta.io nebo mirrorrorrim@cock.li'