Napodobovat ransomware

Výzkumníci z oblasti kybernetické bezpečnosti zveřejnili podrobnosti o dříve neznámém kmeni ransomwaru, který využívá rozhraní API všeho, což je vyhledávač souborů Windows vyvinutý společností Voidtools. Tento ransomware, sledovaný jako Mimic, byl poprvé spatřen ve volné přírodě v červnu 2022 a zdá se, že cílí na rusky i anglicky mluvící uživatele.

Mimic Ransomware je vybaven mnoha funkcemi, jako je odstranění stínových kopií svazku, ukončení více aplikací a služeb a zneužití funkcí Everything32.dll k dotazování cílových souborů na šifrování. Předpokládá se, že hrozba byla alespoň částečně vyvinuta z Conti Ransomware builderu, který unikl již v březnu 2022. Informace o hrozbě byly zveřejněny ve zprávě vydané odborníky z infosec.

Napodobit infekční řetězec ransomwaru

Hrozba Mimic je nasazena na napadená zařízení jako spustitelný soubor, který naopak zahodí několik binárních souborů, včetně archivu chráněného heslem maskovaného jako Everything64.dll. Tento archiv obsahuje datovou část ransomwaru. Obsahuje také nástroje pro deaktivaci programu Windows Defender a legitimních binárních souborů sdel.

Když je Mimic Ransomware spuštěn, umístí své součásti do složky %Temp%/7zipSfx a rozbalí heslem chráněný Everything64.dll do stejného adresáře pomocí 7za.exe s příkazem: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. Navíc do stejného adresáře přenese soubor klíče relace s názvem session.tmp, který bude použit pro pokračování šifrování v případě přerušení procesu.

Poté Mimic Ransomware zkopíruje všechny odstraněné soubory do '%LocalAppData%{Random GUID}\', než se přejmenuje na 'bestplacetolive.exe' a smaže původní soubory z %Temp%.

Ohrožující schopnosti mimického ransomwaru

Mimic Ransomware využívá více vláken a funkci CreateThread k rychlému šifrování souborů, což ztěžuje bezpečnostním výzkumníkům analýzu. Má širokou škálu funkcí, jako je shromažďování systémových informací, vytváření perzistence pomocí klávesy RUN, obcházení Řízení uživatelských účtů (UAC), deaktivace programu Windows Defender a telemetrie, aktivace opatření proti vypnutí, ukončení procesů a služeb, zasahování do obnovení systému a další.

K dosažení svých cílů v oblasti šifrování Mimic Ransomware zneužívá Everything32.dll – legitimní vyhledávač souborů Windows – k dotazování určitých přípon souborů a názvů souborů k načtení jejich cest, ať už za účelem šifrování, nebo k jejich vyloučení z procesu šifrování. Po zašifrování cílových souborů hrozba připojí k jejich názvům příponu '.QUIETPLACE'. Hrozba zobrazuje několik zpráv požadujících výkupné – jednu během procesu spouštění, jednu jako textový soubor s názvem „Decrypt_me.txt“ a další, která se zobrazí ve vyskakovacím okně na obrazovce zařízení.

Úplný text požadavků Mimic Ransomware nalezený ve vyskakovacím okně a textovém souboru je:

„Všechny vaše soubory byly zašifrovány naším virem.
Vaše jedinečné ID:

Můžete si zakoupit úplné dešifrování vašich souborů
Než však zaplatíte, můžete se ujistit, že skutečně dokážeme dešifrovat jakýkoli váš soubor.
Šifrovací klíč a ID jsou jedinečné pro váš počítač, takže je zaručeno, že budete moci své soubory vrátit.

Udělat toto:
1) Pošlete své jedinečné ID - a maximálně 3 soubory pro testovací dešifrování
NAŠE KONTAKTY
1.1) TOX messenger (rychlý a anonymní)
hxxps://tox.chat/download.html
Nainstalujte qtox
stiskněte zpívat
vytvořit si vlastní jméno
Stiskněte plus
Dejte tam moje toxikologické ID
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
A přidejte si mě/napište zprávu
1.2) ICQ Messenger
ICQ live chat, který funguje 24/7 - @mcdonaldsdebtzhlob
Nainstalujte si ICQ software do svého PC zde hxxps://icq.com/windows/ nebo na svém smartphonu vyhledejte „ICQ“ v Appstore / Google market
Napište na naše ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Skype
MCDONALDSDEBTZHLOB DECRYPTION
4) Mail (pište pouze v kritických situacích bcs váš e-mail nemusí být doručen nebo se dostane do spamu) mcdonaldsdebtzhlob@onionmail.org

Do předmětu prosím napište své dešifrovací ID: -

Po dešifrování vám zašleme dešifrované soubory a unikátní bitcoinovou peněženku k platbě.
Po zaplacení výkupného za bitcoiny vám zašleme dešifrovací program a pokyny. Pokud dokážeme dešifrovat vaše soubory, nemáme důvod vás po zaplacení klamat.

FAQ:
Mohu získat slevu?
Ne. Výše výkupného se vypočítává na základě počtu zašifrovaných kancelářských souborů a slevy nejsou poskytovány. Všechny takové zprávy budou automaticky ignorovány. Pokud chcete opravdu jen některé soubory, zazipujte je a někam nahrajte. Dekódujeme je za cenu 1 souboru = 1 $.
Co je to bitcoin?
přečtěte si bitcoin.org
Kde koupit bitcoiny?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (nejrychlejší způsob)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
nebo použijte google.com a vyhledejte informace, kde jej koupit
Kde je záruka, že dostanu své soubory zpět?
Samotná skutečnost, že dokážeme dešifrovat vaše náhodné soubory, je zárukou. Nemá smysl, abychom vás klamali.
Jak rychle obdržím klíč a dešifrovací program po zaplacení?
Zpravidla během 15 min
Jak funguje dešifrovací program?
Je to jednoduché. Musíte spustit náš software. Program automaticky dešifruje všechny zašifrované soubory na vašem HDD.'