Mimic Ransomware

Οι ερευνητές της κυβερνοασφάλειας δημοσίευσαν λεπτομέρειες σχετικά με ένα άγνωστο στέλεχος ransomware που εκμεταλλεύεται τα APIs of Everything, μια μηχανή αναζήτησης ονομάτων αρχείων των Windows που αναπτύχθηκε από την Voidtools. Αυτό το ransomware, που παρακολουθείται ως Mimic, εντοπίστηκε για πρώτη φορά στη φύση τον Ιούνιο του 2022 και φαίνεται να στοχεύει τόσο Ρώσους όσο και αγγλόφωνους χρήστες.

Το Mimic Ransomware είναι εξοπλισμένο με πολλαπλές δυνατότητες, όπως η διαγραφή των αντιγράφων τόμου σκιάς, ο τερματισμός πολλαπλών εφαρμογών και υπηρεσιών και η κατάχρηση των λειτουργιών Everything32.dll για την υποβολή ερωτημάτων σε αρχεία-στόχους για κρυπτογράφηση. Η απειλή πιστεύεται ότι αναπτύχθηκε τουλάχιστον εν μέρει από το πρόγραμμα δημιουργίας Conti Ransomware που διέρρευσε τον Μάρτιο του 2022. Πληροφορίες σχετικά με την απειλή κυκλοφόρησαν σε μια έκθεση που δόθηκε στη δημοσιότητα από ειδικούς της infosec.

Μιμηθείτε την αλυσίδα μόλυνσης του Ransomware

Η απειλή Mimic αναπτύσσεται στις συσκευές που έχουν παραβιαστεί ως ένα εκτελέσιμο αρχείο το οποίο, με τη σειρά του, απορρίπτει πολλά δυαδικά αρχεία, συμπεριλαμβανομένου ενός αρχείου που προστατεύεται με κωδικό πρόσβασης, μεταμφιεσμένο ως Everything64.dll. Αυτό το αρχείο περιέχει το ωφέλιμο φορτίο ransomware. Περιλαμβάνει επίσης εργαλεία για την απενεργοποίηση του Windows Defender και τα νόμιμα δυαδικά αρχεία sdel.

Όταν εκτελεστεί το Mimic Ransomware, θα ρίξει τα στοιχεία του στο φάκελο %Temp%/7zipSfx και θα εξαγάγει το προστατευμένο με κωδικό πρόσβασης Everything64.dll στον ίδιο κατάλογο χρησιμοποιώντας το 7za.exe με την εντολή: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. Επιπλέον, θα ρίξει ένα αρχείο κλειδιού περιόδου λειτουργίας που ονομάζεται session.tmp στον ίδιο κατάλογο, το οποίο θα χρησιμοποιηθεί για τη συνέχιση της κρυπτογράφησης σε περίπτωση διακοπής της διαδικασίας.

Στη συνέχεια, το Mimic Ransomware θα αντιγράψει όλα τα πεσμένα αρχεία στο '%LocalAppData%{Random GUID}\' πριν μετονομαστεί σε 'bestplacetolive.exe' και διαγράψει τα αρχικά αρχεία από το %Temp%.

Οι Απειλητικές Δυνατότητες του Μιμητικού Ransomware

Το Mimic Ransomware χρησιμοποιεί πολλαπλά νήματα και τη λειτουργία CreateThread για γρήγορη κρυπτογράφηση αρχείων, καθιστώντας δύσκολη την ανάλυση για τους ερευνητές ασφαλείας. Έχει ένα ευρύ φάσμα δυνατοτήτων, όπως συλλογή πληροφοριών συστήματος, δημιουργία επιμονής μέσω του κλειδιού RUN, παράκαμψη του ελέγχου λογαριασμού χρήστη (UAC), απενεργοποίηση του Windows Defender και τηλεμετρίας, ενεργοποίηση μέτρων κατά του τερματισμού λειτουργίας, τερματισμός διαδικασιών και υπηρεσιών, παρεμβολή το System Recovery και πολλά άλλα.

Για να επιτύχει τους στόχους κρυπτογράφησης, το Mimic Ransomware καταχράται το Everything32.dll - μια νόμιμη μηχανή αναζήτησης ονομάτων αρχείων των Windows - για να ρωτήσει ορισμένες επεκτάσεις αρχείων και ονόματα αρχείων για να ανακτήσει τις διαδρομές τους, είτε για κρυπτογράφηση είτε για να τις εξαιρέσει από τη διαδικασία κρυπτογράφησης. Μετά την κρυπτογράφηση των αρχείων προορισμού, η απειλή προσθέτει την επέκταση '.QUIETPLACE' στα ονόματά τους. Η απειλή εμφανίζει πολλά μηνύματα που απαιτούν λύτρα - ένα κατά τη διαδικασία εκκίνησης, ένα ως αρχείο κειμένου με το όνομα "Decrypt_me.txt" και ένα άλλο που εμφανίζεται σε ένα αναδυόμενο παράθυρο στην οθόνη της συσκευής.

Το πλήρες κείμενο των απαιτήσεων του Mimic Ransomware που βρίσκεται στο αναδυόμενο παράθυρο και το αρχείο κειμένου είναι:

'Όλα τα αρχεία σας έχουν κρυπτογραφηθεί με τον ιό μας.
Το μοναδικό σας αναγνωριστικό:

Μπορείτε να αγοράσετε πλήρη αποκρυπτογράφηση των αρχείων σας
Αλλά προτού πληρώσετε, μπορείτε να βεβαιωθείτε ότι μπορούμε πραγματικά να αποκρυπτογραφήσουμε οποιοδήποτε από τα αρχεία σας.
Το κλειδί κρυπτογράφησης και το αναγνωριστικό είναι μοναδικά για τον υπολογιστή σας, επομένως είναι σίγουρο ότι θα μπορείτε να επιστρέψετε τα αρχεία σας.

Για να γινει αυτο:
1) Στείλτε το μοναδικό σας αναγνωριστικό - και έως 3 αρχεία για δοκιμαστική αποκρυπτογράφηση
ΟΙ ΕΠΑΦΕΣ ΜΑΣ
1.1) TOX messenger (γρήγορος και ανώνυμος)
hxxps://tox.chat/download.html
Εγκαταστήστε το qtox
πατήστε τραγουδήστε επάνω
δημιουργήστε το δικό σας όνομα
Πατήστε συν
Βάλτε εκεί το αναγνωριστικό μου
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
Και προσθέστε μου/γράψτε μήνυμα
1.2) ICQ Messenger
Ζωντανή συνομιλία ICQ που λειτουργεί 24/7 - @mcdonaldsdebtzhlob
Εγκαταστήστε το λογισμικό ICQ στον υπολογιστή σας εδώ hxxps://icq.com/windows/ ή στο smartphone σας αναζητήστε "ICQ" στο Appstore / Αγορά Google
Γράψτε στο ICQ μας @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Skype
MCDONALDSDEBTZHLOB ΑΠΟΚΡΥΠΤΩΣΗ
4) Αλληλογραφία (γράψτε μόνο σε κρίσιμες περιπτώσεις π.χ. το email σας ενδέχεται να μην παραδοθεί ή να ληφθεί σε ανεπιθύμητο περιεχόμενο) mcdonaldsdebtzhlob@onionmail.org

Στη γραμμή θέματος, γράψτε το αναγνωριστικό αποκρυπτογράφησης: -

Μετά την αποκρυπτογράφηση, θα σας στείλουμε τα αποκρυπτογραφημένα αρχεία και ένα μοναδικό πορτοφόλι bitcoin για πληρωμή.
Μετά την πληρωμή λύτρων για Bitcoin, θα σας στείλουμε ένα πρόγραμμα αποκρυπτογράφησης και οδηγίες. Εάν μπορούμε να αποκρυπτογραφήσουμε τα αρχεία σας, δεν έχουμε κανένα λόγο να σας εξαπατήσουμε μετά την πληρωμή.

FAQ:
Μπορώ να έχω έκπτωση;
Όχι. Το ποσό των λύτρων υπολογίζεται με βάση τον αριθμό των κρυπτογραφημένων αρχείων γραφείου και δεν παρέχονται εκπτώσεις. Όλα αυτά τα μηνύματα θα αγνοηθούν αυτόματα. Εάν πραγματικά θέλετε μόνο μερικά από τα αρχεία, κάντε τα συμπιεσμένα και ανεβάστε τα κάπου. Θα τα αποκωδικοποιήσουμε στην τιμή του 1 αρχείου = 1$.
Τι είναι το Bitcoin;
διαβάστε το bitcoin.org
Πού να αγοράσω bitcoin;
hxxps://www.alfa.cash/buy-crypto-with-credit-card (γρηγορότερος τρόπος)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
ή χρησιμοποιήστε το google.com για να βρείτε πληροφορίες από πού να το αγοράσετε
Πού είναι η εγγύηση ότι θα λάβω πίσω τα αρχεία μου;
Το ίδιο το γεγονός ότι μπορούμε να αποκρυπτογραφήσουμε τα τυχαία αρχεία σας αποτελεί εγγύηση. Δεν έχει νόημα να σας εξαπατήσουμε.
Πόσο γρήγορα θα λάβω το κλειδί και το πρόγραμμα αποκρυπτογράφησης μετά την πληρωμή;
Κατά κανόνα, για 15 λεπτά
Πώς λειτουργεί το πρόγραμμα αποκρυπτογράφησης;
Είναι απλό. Πρέπει να εκτελέσετε το λογισμικό μας. Το πρόγραμμα θα αποκρυπτογραφήσει αυτόματα όλα τα κρυπτογραφημένα αρχεία στον σκληρό δίσκο σας.'