باج افزار را تقلید کنید

محققان امنیت سایبری جزئیاتی را درباره نوع باج‌افزار ناشناخته‌ای منتشر کرده‌اند که از APIs of Everything، یک موتور جستجوی نام فایل ویندوز که توسط Voidtools توسعه یافته است، بهره می‌برد. این باج افزار که با نام Mimic ردیابی می شود، برای اولین بار در ژوئن 2022 در طبیعت مشاهده شد و به نظر می رسد کاربران روسی و انگلیسی زبان را هدف قرار داده است.

باج‌افزار Mimic به قابلیت‌های متعددی مانند حذف کپی‌های حجم سایه، خاتمه برنامه‌ها و سرویس‌های متعدد، و سوء استفاده از توابع Everything32.dll برای جستجوی فایل‌های هدف برای رمزگذاری مجهز است. اعتقاد بر این است که این تهدید حداقل تا حدی از سازنده باج‌افزار Conti که در مارس 2022 فاش شد، ایجاد شده است. اطلاعات مربوط به این تهدید در گزارشی منتشر شده توسط کارشناسان infosec منتشر شده است.

تقلید از زنجیره عفونت باج افزار

تهدید Mimic به عنوان یک فایل اجرایی بر روی دستگاه‌های شکسته شده مستقر می‌شود که به نوبه خود، چندین باینری، از جمله یک بایگانی محافظت شده با رمز عبور را که به عنوان Everything64.dll پنهان شده است، حذف می‌کند. این آرشیو حاوی بار باج افزار است. همچنین شامل ابزارهایی برای غیرفعال کردن Windows Defender و باینری های قانونی sdel است.

هنگامی که باج‌افزار Mimic اجرا می‌شود، اجزای خود را در پوشه %Temp%/7zipSfx رها می‌کند و با استفاده از 7za.exe با دستور %Temp%\7ZipSfx.000\7za، Everything64.dll محافظت‌شده با رمز عبور را در همان فهرست استخراج می‌کند. exe." x -y -p20475326413135730160 Everything64.dll. علاوه بر این، یک فایل کلید جلسه به نام session.tmp را در همان دایرکتوری رها می کند که برای ادامه رمزگذاری در صورت وقفه در روند استفاده می شود.

پس از آن، باج‌افزار Mimic همه فایل‌های حذف‌شده را قبل از تغییر نام به «bestplacetolive.exe» و حذف فایل‌های اصلی از %Temp% در «%LocalAppData%{Random GUID}» کپی می‌کند.

قابلیت های تهدید آمیز باج افزار تقلید

باج‌افزار Mimic از چندین رشته و تابع CreateThread برای رمزگذاری سریع فایل‌ها استفاده می‌کند و تحلیل آن را برای محققان امنیتی دشوار می‌کند. دارای طیف گسترده ای از قابلیت ها مانند جمع آوری اطلاعات سیستم، ایجاد پایداری از طریق کلید RUN، دور زدن کنترل حساب کاربری (UAC)، غیرفعال کردن Windows Defender و تله متری، فعال کردن اقدامات ضد خاموش شدن، خاتمه دادن به فرآیندها و خدمات، تداخل با بازیابی سیستم و موارد دیگر.

برای دستیابی به اهداف رمزگذاری خود، باج‌افزار Mimic از Everything32.dll - یک موتور جستجوی نام فایل قانونی ویندوز - سوء استفاده می‌کند تا پسوندهای فایل و نام فایل‌های خاصی را برای بازیابی مسیرهای آنها، چه برای رمزگذاری یا برای حذف آنها از فرآیند رمزگذاری، جستجو کند. پس از رمزگذاری فایل های مورد نظر، تهدید پسوند "QUIETPLACE" را به نام آنها اضافه می کند. این تهدید چندین پیام باج‌خواه را نمایش می‌دهد - یکی در طول فرآیند راه‌اندازی، یکی به‌عنوان یک فایل متنی با نام «Decrypt_me.txt» و دیگری که در یک پنجره بازشو روی صفحه نمایش دستگاه نشان داده می‌شود.

متن کامل درخواست‌های باج‌افزار Mimic که در پنجره پاپ‌آپ و فایل متنی یافت می‌شود:

'همه فایل های شما با ویروس ما رمزگذاری شده اند.
شناسه منحصر به فرد شما:

شما می توانید رمزگشایی کامل فایل های خود را خریداری کنید
اما قبل از پرداخت، می توانید مطمئن شوید که ما واقعاً می توانیم هر یک از فایل های شما را رمزگشایی کنیم.
کلید رمزگذاری و شناسه برای رایانه شما منحصر به فرد است، بنابراین تضمین می شود که می توانید فایل های خود را بازگردانید.

برای انجام این:
1) شناسه منحصر به فرد خود را - و حداکثر 3 فایل برای رمزگشایی آزمایشی ارسال کنید
تماس های ما
1.1) پیام رسان TOX (سریع و ناشناس)
hxxps://tox.chat/download.html
qtox را نصب کنید
مطبوعات بخوان
نام خود را ایجاد کنید
پلاس را فشار دهید
شناسه سم من را در آنجا قرار دهید
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
و من را اضافه کنید/پیام بنویسید
1.2) ICQ Messenger
چت زنده ICQ که 24/7 کار می کند - @mcdonaldsdebtzhlob
نرم افزار ICQ را بر روی رایانه شخصی خود در اینجا نصب کنید hxxps://icq.com/windows/ یا در گوشی هوشمند خود عبارت "ICQ" را در Appstore / Google Market جستجو کنید.
به ICQ ما بنویسید @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) اسکایپ
MCDONALDSDEBTZHLOB رمزگشایی
4) ایمیل (فقط در شرایط بحرانی بنویسید تا ایمیل شما تحویل داده نشود یا در هرزنامه دریافت شود) mcdonaldsdebtzhlob@onionmail.org

لطفاً در قسمت موضوع شناسه رمزگشایی خود را بنویسید: -

پس از رمزگشایی، ما فایل های رمزگشایی شده و یک کیف پول بیت کوین منحصر به فرد را برای پرداخت برای شما ارسال می کنیم.
پس از پرداخت باج برای بیت کوین، ما یک برنامه رمزگشایی و دستورالعمل ها را برای شما ارسال می کنیم. اگر بتوانیم فایل های شما را رمزگشایی کنیم، پس از پرداخت هیچ دلیلی برای فریب شما نداریم.

سوالات متداول:
آیا می توانم تخفیف بگیرم؟
خیر، مبلغ باج بر اساس تعداد فایل های اداری رمزگذاری شده محاسبه می شود و تخفیف ارائه نمی شود. همه این پیام ها به طور خودکار نادیده گرفته می شوند. اگر واقعاً فقط برخی از فایل ها را می خواهید، آنها را فشرده کنید و در جایی آپلود کنید. ما آنها را به قیمت 1 فایل = 1 دلار رمزگشایی می کنیم.
بیت کوین چیست؟
bitcoin.org را بخوانید
از کجا بیت کوین بخریم؟
hxxps://www.alfa.cash/buy-crypto-with-credit-card (سریعترین راه)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
یا از google.com استفاده کنید تا اطلاعاتی را پیدا کنید که کجا آن را بخرید
چه تضمینی وجود دارد که فایل هایم را پس بگیرم؟
این واقعیت که ما می توانیم فایل های تصادفی شما را رمزگشایی کنیم، تضمینی است. فریب دادن شما بی معنی است.
پس از پرداخت، با چه سرعتی برنامه کلید و رمزگشایی را دریافت خواهم کرد؟
به عنوان یک قاعده، در طول 15 دقیقه
برنامه رمزگشایی چگونه کار می کند؟
ساده است. شما باید نرم افزار ما را اجرا کنید. این برنامه به طور خودکار تمام فایل های رمزگذاری شده روی هارد دیسک شما را رمزگشایی می کند.