Mimic Ransomware
Trusselscorekort
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards er vurderingsrapporter for forskellige malware-trusler, som er blevet indsamlet og analyseret af vores forskningsteam. EnigmaSoft Threat Scorecards evaluerer og rangerer trusler ved hjælp af adskillige metrics, herunder virkelige og potentielle risikofaktorer, tendenser, frekvens, udbredelse og persistens. EnigmaSoft Threat Scorecards opdateres regelmæssigt baseret på vores forskningsdata og metrics og er nyttige for en bred vifte af computerbrugere, fra slutbrugere, der søger løsninger til at fjerne malware fra deres systemer, til sikkerhedseksperter, der analyserer trusler.
EnigmaSoft Threat Scorecards viser en række nyttige oplysninger, herunder:
Rangering: Rangeringen af en bestemt trussel i EnigmaSofts trusseldatabase.
Sværhedsgrad: Et objekts fastlagte sværhedsgrad, repræsenteret numerisk, baseret på vores risikomodelleringsproces og forskning, som forklaret i vores trusselsvurderingskriterier .
Inficerede computere: Antallet af bekræftede og formodede tilfælde af en bestemt trussel opdaget på inficerede computere som rapporteret af SpyHunter.
Se også Kriterier for trusselsvurdering .
| Trusselsniveau: | 100 % (Høj) |
| Inficerede computere: | 2 |
| Først set: | February 8, 2023 |
| Sidst set: | March 1, 2023 |
| Berørte operativsystemer: | Windows |
Cybersikkerhedsforskere har frigivet detaljer om en hidtil ukendt ransomware-stamme, der udnytter API'erne i Everything, en Windows-filnavnsøgemaskine udviklet af Voidtools. Denne ransomware, sporet som Mimic, blev første gang set i naturen i juni 2022 og ser ud til at være rettet mod både russisk- og engelsktalende brugere.
Mimic Ransomware er udstyret med flere muligheder, såsom sletning af Shadow Volume Copies, terminering af flere applikationer og tjenester og misbrug af Everything32.dll-funktioner til at forespørge målfiler til kryptering. Truslen menes i det mindste delvist at være udviklet fra Conti Ransomware- builderen, der blev lækket tilbage i marts 2022. Oplysninger om truslen blev frigivet i en rapport udgivet af infosec-eksperter.
Indholdsfortegnelse
Mimic Ransomwares infektionskæde
Mimic-truslen er implementeret på de brudte enheder som en eksekverbar fil, der til gengæld dropper flere binære filer, inklusive et adgangskodebeskyttet arkiv forklædt som Everything64.dll. Dette arkiv indeholder ransomware-nyttelasten. Det inkluderer også værktøjer til at deaktivere Windows Defender og legitime sdel-binære filer.
Når Mimic Ransomware udføres, vil det slippe dets komponenter til mappen %Temp%/7zipSfx og udpakke den adgangskodebeskyttede Everything64.dll til den samme mappe ved hjælp af 7za.exe med kommandoen: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. Derudover vil den slippe en sessionsnøglefil kaldet session.tmp til den samme mappe, som vil blive brugt til fortsat kryptering i tilfælde af afbrydelse i processen.
Bagefter vil Mimic Ransomware kopiere alle tabte filer til '%LocalAppData%{Random GUID}\', før den omdøber sig selv til 'bestplacetolive.exe' og sletter de originale filer fra %Temp%.
De truende egenskaber ved Mimic Ransomware
Mimic Ransomware bruger flere tråde og CreateThread-funktionen til at kryptere filer hurtigt, hvilket gør det svært for sikkerhedsforskere at analysere. Det har en bred vifte af muligheder, såsom at indsamle systemoplysninger, skabe persistens via RUN-nøglen, omgå brugerkontokontrol (UAC), deaktivere Windows Defender og telemetri, aktivere anti-nedlukningsforanstaltninger, afslutte processer og tjenester, interferere med systemgendannelse og mere.
For at nå sine krypteringsmål misbruger Mimic Ransomware Everything32.dll - en legitim Windows-filnavnsøgemaskine - til at forespørge på bestemte filtypenavne og filnavne for at hente deres stier, enten til kryptering eller for at udelukke dem fra krypteringsprocessen. Efter kryptering af målfilerne tilføjer truslen filtypen '.QUIETPLACE' til deres navne. Truslen viser flere løsesum-krævende beskeder - en under opstartsprocessen, en som en tekstfil ved navn 'Decrypt_me.txt' og en anden, der vises i et pop-up vindue på enhedens skærm.
Den fulde tekst af Mimic Ransomwares krav fundet i pop op-vinduet og tekstfilen er:
'Alle dine filer er blevet krypteret med vores virus.
Dit unikke ID:Du kan købe fuld dekryptering af dine filer
Men før du betaler, kan du sikre dig, at vi virkelig kan dekryptere alle dine filer.
Krypteringsnøglen og ID er unikke for din computer, så du er garanteret at kunne returnere dine filer.At gøre dette:
1) Send dit unikke id - og max 3 filer til testdekryptering
VORES KONTAKTER
1.1) TOX messenger (hurtig og anonym)
hxxps://tox.chat/download.html
Installer qtox
tryk synge op
oprette dit eget navn
Tryk på plus
Læg mit tox-id der
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
Og tilføj mig/skriv besked
1.2) ICQ Messenger
ICQ live chat som fungerer 24/7 - @mcdonaldsdebtzhlob
Installer ICQ-software på din pc her hxxps://icq.com/windows/ eller på din smartphone søg efter "ICQ" i Appstore / Google marked
Skriv til vores ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Skype
MCDONALDSDEBTZHLOB-BESKRIVELSE
4) Mail (skriv kun i kritiske situationer, da din e-mail muligvis ikke bliver leveret eller kommer i spam) mcdonaldsdebtzhlob@onionmail.orgI emnelinjen skal du skrive dit dekrypterings-id: -
Efter dekryptering sender vi dig de dekrypterede filer og en unik bitcoin wallet til betaling.
Efter betaling af løsesum for Bitcoin sender vi dig et dekrypteringsprogram og instruktioner. Hvis vi kan dekryptere dine filer, har vi ingen grund til at narre dig efter betaling.Ofte stillede spørgsmål:
Kan jeg få rabat?
Nej. Løsesummen beregnes ud fra antallet af krypterede kontorfiler, og der gives ikke rabatter. Alle sådanne beskeder vil automatisk blive ignoreret. Hvis du virkelig kun vil have nogle af filerne, så zip dem og upload dem et sted. Vi vil afkode dem til prisen for 1 fil = 1$.
Hvad er Bitcoin?
læs bitcoin.org
Hvor kan man købe bitcoins?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (hurtigste måde)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
eller brug google.com for at finde oplysninger om, hvor det kan købes
Hvor er garantien for, at jeg modtager mine filer tilbage?
Selve det faktum, at vi kan dekryptere dine tilfældige filer, er en garanti. Det giver ingen mening for os at bedrage dig.
Hvor hurtigt modtager jeg nøglen og dekrypteringsprogrammet efter betaling?
Som regel i løbet af 15 min
Hvordan fungerer dekrypteringsprogrammet?
Det er simpelt. Du skal køre vores software. Programmet vil automatisk dekryptere alle krypterede filer på din HDD.'
Detaljer om filsystem
| # | Filnavn | MD5 |
Detektioner
Detektioner: Antallet af bekræftede og mistænkte tilfælde af en bestemt trussel, der er opdaget på inficerede computere, som rapporteret af SpyHunter.
|
|---|---|---|---|
| 1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |
