MIRROR Ransomware
Efter en grundig analyse af potentielle malware-trusler har forskere endegyldigt identificeret MIRROR som en ransomware-variant. Det primære formål med MIRROR-truslen er at kryptere filer, der findes på kompromitterede enheder. Derudover påtager den sig filomdøbning og udsteder to løsesumsedler - den ene i form af et pop-up-vindue og den anden som en tekstfil med navnet 'info-MIRROR.txt'.
MIRROR Ransomware anvender en specifik navnekonvention for filer, den krypterer, ved at tilføje offerets ID, 'tpyrcedrorrim@tuta.io' e-mailadresse og '.Mr' udvidelse. For eksempel omdanner den '1.pdf' til '1.pdf.id-9ECFA74E.[tpyrcedrorrim@tuta.io].Mr,' og '2.png' bliver '2.png.id-9ECFA74E.[tpyrcedrorrim@ tuta.io].Mr,' og så videre. Denne særlige trussel er blevet kategoriseret som en variant inden for Dharma Ransomware- familien.
Indholdsfortegnelse
MIRROR Ransomware går ud over filkryptering
Ud over at kryptere filer, anvender MIRROR strategiske foranstaltninger for at kompromittere det målrettede systems sikkerhed yderligere. En sådan taktik involverer at deaktivere firewallen og derved øge systemets sårbarhed over for de ondsindede aktiviteter orkestreret af ransomwaren. Derudover tager MIRROR bevidste handlinger for at slette Shadow Volume Copies, hvilket effektivt eliminerer potentielle gendannelsespunkter og hindrer genoprettelsesbestræbelser.
MIRROR udnytter sårbarheder inden for Remote Desktop Protocol (RDP)-tjenester som en primær vektor for infektion. Dette involverer typisk udnyttelse af svage kontooplysninger gennem metoder som brute force og ordbogsangreb. Ved at udnytte disse teknikker får ransomwaren uautoriseret adgang til systemer, især dem med utilstrækkeligt administreret kontosikkerhed.
Desuden udviser MIRROR evnen til at udtrække lokationsdata, hvilket gør det muligt at skelne den geografiske kontekst af de inficerede systemer. Det besidder især evnen til at udelukke forudbestemte lokationer fra dets dataudvindingsomfang. Derudover inkorporerer MIRROR persistensmekanismer, der sikrer, at det kan bevare fodfæste i det kompromitterede system over en længere periode.
Ofre for MIRROR Ransomware bliver afpresset for penge
Løsesedlen fra MIRROR Ransomware tjener som en kommunikation fra angriberne til offeret, der udtrykkeligt angiver, at alle ofrets filer har gennemgået kryptering. Den skitserer en potentiel vej til filgendannelse, instruerer offeret om at indlede kontakt via en specificeret e-mailadresse (tpyrcedrorrim@tuta.io) og giver en unik identifikator.
Som et alternativt kommunikationsmiddel giver notatet også en anden e-mailadresse (mirrorrorrim@cock.li). Bemærkningen fraråder på det kraftigste brugen af mellemmænd til kommunikation, idet den nævner potentielle risici såsom overpris, uberettiget debitering og transaktionsafvisning. Angriberne hævder deres evne til at levere krypterede datagendannelsestjenester og tilbyder garantier, herunder en gendannelsesdemonstration, der involverer op til tre filer for at underbygge deres færdigheder.
Desuden udsender løsesumsedlen en advarsel til offeret, der udtrykkeligt fraråder at omdøbe krypterede filer. Den advarer også mod forsøg på dekryptering gennem tredjepartssoftware og understreger de potentielle konsekvenser af permanent datatab eller modtagelighed for svindel. Hensigten er at guide offeret til den sikreste fremgangsmåde for at maksimere chancerne for vellykket filgendannelse og samtidig minimere potentielle risici.
Træf foranstaltninger til at styrke dine enheder mod Ransomware-infektioner
Ransomware udgør en betydelig trussel mod sikkerheden af digitale enheder, med potentielle konsekvenser lige fra tab af data til økonomisk afpresning. Implementering af proaktive foranstaltninger er afgørende for at befæste enheder mod sådanne infektioner. Her er fem effektive trin, som brugere kan tage:
- Opdater regelmæssigt operativsystemer og software : Det er vigtigt at holde operativsystemer og software opdateret, da opdateringer ofte inkluderer sikkerhedsrettelser, der adresserer sårbarheder. Tjek jævnligt efter og anvend opdateringer for at reducere risikoen for, at ransomware udnytter kendte svagheder.
- Installer og vedligehold sikkerhedssoftware : Brug af pålidelig sikkerhedssoftware giver et ekstra lag af forsvar mod ransomware. Sørg for, at anti-malware-programmet opdateres regelmæssigt, og udfør planlagte scanninger for at opdage og eliminere potentielle trusler, før de kan kompromittere din enhed.
- Udvis forsigtighed med e-mailvedhæftede filer og links : Ransomware infiltrerer ofte systemer gennem phishing-e-mails, der indeholder ondsindede vedhæftede filer eller links. Vær meget forsigtig, når du åbner e-mails fra ukendte afsendere, prøv ikke at klikke på mistænkelige links, og undlad at downloade vedhæftede filer, medmindre deres legitimitet er bekræftet.
- Sikkerhedskopier data regelmæssigt : Oprettelse af regelmæssige sikkerhedskopier af væsentlige data er en kritisk forebyggende foranstaltning. I et ransomware-angreb giver nyere sikkerhedskopier brugere mulighed for at gendanne deres filer uden at bukke under for afpresning. Gem sikkerhedskopier på en ekstern enhed eller en sikker cloud-tjeneste.
- Implementer netværkssikkerhedsforanstaltninger : Styrkelse af netværkssikkerheden kan forhindre ransomware-angreb. Brug firewalls og systemer til registrering af indtrængen/forebyggelse, anvend unikke og stærke adgangskoder til alle enheder og konti, og overvej at segmentere netværk for at begrænse den potentielle indvirkning af en infektion på hele systemet.
Ved at vedtage disse foranstaltninger kan brugere forbedre deres enheders modstandsdygtighed mod ransomware betydeligt, beskytte deres værdifulde data og bevare integriteten af deres digitale miljø.
Den fulde tekst af den primære løsesumseddel efterladt af MIRROR Ransomware er:
'MIRROR
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: tpyrcedrorrim@tuta.io YOUR ID 9ECFA84E
If you have not answered by mail within 12 hours, write to us by another mail:mirrorrorrim@cock.li
We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.
-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.
Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
Tekstfilen droppet af MIRROR Ransomware indeholder følgende besked:
'alle dine data er blevet låst os
Vil du tilbage?
skriv e-mail tpyrcedrorrim@tuta.io eller mirrorrorrim@cock.li'
