Jäljendage lunavara
Ohu tulemuskaart
EnigmaSoft Threat Scardcard
EnigmaSoft Threat Scorecards on erinevate pahavaraohtude hindamisaruanded, mille on kogunud ja analüüsinud meie uurimismeeskond. EnigmaSoft Threat Scorecards hindavad ja järjestavad ohte, kasutades mitmeid mõõdikuid, sealhulgas reaalseid ja potentsiaalseid riskitegureid, suundumusi, sagedust, levimust ja püsivust. EnigmaSoft Threat Scorecards uuendatakse regulaarselt meie uurimisandmete ja mõõdikute põhjal ning need on kasulikud paljudele arvutikasutajatele, alates lõppkasutajatest, kes otsivad lahendusi pahavara eemaldamiseks oma süsteemidest, kuni ohtusid analüüsivate turvaekspertideni.
EnigmaSoft Threat Scorecards kuvab mitmesugust kasulikku teavet, sealhulgas:
Edetabel: konkreetse ohu pingerida EnigmaSofti ohtude andmebaasis.
Raskusaste: objekti kindlaksmääratud raskusaste, mis on esitatud arvuliselt, tuginedes meie riskide modelleerimise protsessile ja uuringutele, nagu on selgitatud meie ohu hindamise kriteeriumides .
Nakatunud arvutid: SpyHunteri teatel nakatunud arvutites tuvastatud konkreetse ohu kinnitatud ja kahtlustatavate juhtumite arv.
Vt ka Ohu hindamise kriteeriumid .
| Ohu tase: | 100 % (Kõrge) |
| Nakatunud arvutid: | 2 |
| Esimene nägemine: | February 8, 2023 |
| Viimati nähtud: | March 1, 2023 |
| Mõjutatud OS (id): | Windows |
Küberturvalisuse teadlased avaldasid üksikasjad varem tundmatu lunavaratüve kohta, mis kasutab ära Voidtoolsi välja töötatud Windowsi failinimede otsingumootori API-liidest Kõik. Seda lunavara, mida jälgitakse nimega Mimic, märgati looduses esmakordselt 2022. aasta juunis ja see näib olevat suunatud nii vene kui ka inglise keelt kõnelevatele kasutajatele.
Mimic Ransomware on varustatud mitme võimalusega, nagu näiteks variköite koopiate kustutamine, mitme rakenduse ja teenuse lõpetamine ning Everything32.dll funktsioonide kuritarvitamine sihtfailide krüptimiseks päringu tegemiseks. Arvatakse, et oht on vähemalt osaliselt välja töötatud Conti Ransomware ehitajast, mis lekkis märtsis 2022. Teave ohu kohta avaldati infoseci ekspertide avaldatud raportis.
Sisukord
Jäljendage Ransomware'i nakkusahelat
Mimic oht juurutatakse rikutud seadmetele käivitatava failina, mis omakorda eemaldab mitu binaarfaili, sealhulgas parooliga kaitstud arhiivi, mis on maskeeritud nimega Everything64.dll. See arhiiv sisaldab lunavara kasulikku koormust. See sisaldab ka tööriistu Windows Defenderi ja seaduslike sdel-binaarfailide keelamiseks.
Kui Mimic Ransomware käivitatakse, langetab see oma komponendid kausta %Temp%/7zipSfx ja ekstraktib parooliga kaitstud Everything64.dll faili 7za.exe abil samasse kataloogi käsuga %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. Lisaks kukutab see samasse kataloogi seansivõtme faili nimega session.tmp, mida kasutatakse krüptimise jätkamiseks protsessi katkemise korral.
Seejärel kopeerib Mimic Ransomware kõik mahajäetud failid kausta '%LocalAppData%{Random GUID}\', enne kui nimetab end ümber nimeks "bestplacetolive.exe" ja kustutab algfailid saidist %Temp%.
Mimic Ransomware ähvardavad võimalused
Mimic Ransomware kasutab failide kiireks krüptimiseks mitut lõime ja funktsiooni CreateThread, mis muudab turvauurijate jaoks analüüsimise keeruliseks. Sellel on lai valik võimalusi, nagu süsteemiteabe kogumine, püsivuse loomine võtme RUN kaudu, kasutajakonto kontrolli (UAC) möödahiilimine, Windows Defenderi ja telemeetria keelamine, väljalülitusvastaste meetmete aktiveerimine, protsesside ja teenuste lõpetamine, süsteemitaaste ja palju muud.
Oma krüptimiseesmärkide saavutamiseks kuritarvitab Mimic Ransomware kõike32.dll – legitiimset Windowsi failinimede otsingumootorit –, et teha päringuid teatud faililaiendite ja failinimede kohta, et hankida nende teed, kas krüptimiseks või krüpteerimisprotsessist väljajätmiseks. Pärast sihtfailide krüptimist lisab oht nende nimedele laienduse „.QUIETPLACE”. Oht kuvab mitu lunaraha nõudvat sõnumit – üks käivitusprotsessi ajal, üks tekstifailina nimega 'Decrypt_me.txt' ja teine, mis kuvatakse seadme ekraanil hüpikaknas.
Hüpikaknast ja tekstifailist leitud Mimic Ransomware nõudmiste täistekst on järgmine:
„Kõik teie failid on meie viirusega krüptitud.
Teie kordumatu ID:Saate osta oma failide täieliku dekrüpteerimise
Kuid enne maksmist saate veenduda, et suudame tõesti kõik teie failid dekrüpteerida.
Krüpteerimisvõti ja ID on teie arvuti jaoks ainulaadsed, nii et saate oma faile tagastada.Selleks tehke järgmist.
1) Saatke testdekrüpteerimiseks oma kordumatu ID ja maksimaalselt 3 faili
MEIE KONTAKTID
1.1) TOX Messenger (kiire ja anonüümne)
hxxps://tox.chat/download.html
Installige qtox
vajutage laula üles
luua oma nimi
Vajutage pluss
Pange sinna minu tox ID
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
Ja lisa mind/kirjuta sõnum
1.2) ICQ Messenger
ICQ reaalajas vestlus, mis töötab 24/7 – @mcdonaldsdebtzhlob
Installige oma arvutisse ICQ tarkvara siit hxxps://icq.com/windows/ või otsige oma nutitelefonis Appstore'is / Google Marketis otsingut "ICQ"
Kirjutage meie ICQ-le @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Skype
MCDONALDSDEBTZHLOB DECRYPTION
4) Post (kirjutage ainult kriitilistes olukordades bcs, teie e-kirju ei pruugita kohale toimetada või sattuda rämpsposti) mcdonaldsdebtzhlob@onionmail.orgTeema reale kirjutage oma dekrüpteerimise ID: -
Pärast dekrüpteerimist saadame teile tasumiseks dekrüpteeritud failid ja ainulaadse bitcoini rahakoti.
Pärast Bitcoini eest lunaraha maksmist saadame teile dekrüpteerimisprogrammi ja juhised. Kui suudame teie failid dekrüpteerida, pole meil põhjust teid pärast maksmist petta.KKK:
Kas ma saan allahindlust?
Ei. Lunarahasumma arvutatakse krüptitud kontorifailide arvu põhjal ja allahindlusi ei tehta. Kõiki selliseid sõnumeid ignoreeritakse automaatselt. Kui soovite tõesti ainult mõnda faili, pakkige need kokku ja laadige need kuhugi üles. Me dekodeerime need hinnaga 1 fail = 1 $.
Mis on Bitcoin?
loe bitcoin.org
Kust osta bitcoine?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (kiireim viis)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
või kasutage google.com-i, et leida teavet selle ostmise kohta
Kus on garantii, et saan oma failid tagasi?
Asjaolu, et saame teie juhuslikud failid dekrüpteerida, on garantii. Meil pole mõtet teid petta.
Kui kiiresti ma pärast maksmist võtme ja dekrüpteerimisprogrammi kätte saan?
Reeglina 15 min
Kuidas dekrüpteerimisprogramm töötab?
See on lihtne. Peate käivitama meie tarkvara. Programm dekrüpteerib automaatselt kõik teie kõvakettal olevad krüptitud failid.
Failisüsteemi üksikasjad
| # | Faili nimi | MD5 |
Tuvastamised
Tuvastamised: SpyHunteri teatel nakatunud arvutites tuvastatud konkreetse ohu kinnitatud ja kahtlustatavate juhtumite arv.
|
|---|---|---|---|
| 1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |
