باج افزار را تقلید کنید
کارت امتیازی تهدید
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards گزارشهای ارزیابی برای تهدیدات مختلف بدافزار هستند که توسط تیم تحقیقاتی ما جمعآوری و تجزیه و تحلیل شدهاند. EnigmaSoft Threat Scorecards با استفاده از چندین معیار از جمله عوامل خطر واقعی و بالقوه، روندها، فراوانی، شیوع و تداوم، تهدیدها را ارزیابی و رتبه بندی می کند. کارتهای امتیازی تهدید EnigmaSoft به طور منظم بر اساس دادههای تحقیقاتی و معیارهای ما بهروزرسانی میشوند و برای طیف گستردهای از کاربران رایانه، از کاربران نهایی که به دنبال راهحلهایی برای حذف بدافزار از سیستمهای خود هستند تا کارشناسان امنیتی که تهدیدها را تجزیه و تحلیل میکنند، مفید هستند.
کارت امتیازی EnigmaSoft Threat اطلاعات مفید مختلفی را نمایش می دهد، از جمله:
رتبه بندی: رتبه بندی یک تهدید خاص در پایگاه داده تهدید EnigmaSoft.
سطح شدت: سطح شدت تعیین شده یک شی که به صورت عددی نشان داده می شود، بر اساس فرآیند مدل سازی ریسک و تحقیقات ما، همانطور که در معیارهای ارزیابی تهدید توضیح داده شده است.
رایانه های آلوده: تعداد موارد تأیید شده و مشکوک یک تهدید خاص که بر روی رایانه های آلوده شناسایی شده است که توسط SpyHunter گزارش شده است.
همچنین به معیارهای ارزیابی تهدید مراجعه کنید.
میزان خطر: | 100 % (بالا) |
کامپیوترهای آلوده: | 2 |
اولین بار دیده شد: | February 8, 2023 |
آخرین حضور: | March 1, 2023 |
سیستم عامل (های) تحت تأثیر: | Windows |
محققان امنیت سایبری جزئیاتی را درباره نوع باجافزار ناشناختهای منتشر کردهاند که از APIs of Everything، یک موتور جستجوی نام فایل ویندوز که توسط Voidtools توسعه یافته است، بهره میبرد. این باج افزار که با نام Mimic ردیابی می شود، برای اولین بار در ژوئن 2022 در طبیعت مشاهده شد و به نظر می رسد کاربران روسی و انگلیسی زبان را هدف قرار داده است.
باجافزار Mimic به قابلیتهای متعددی مانند حذف کپیهای حجم سایه، خاتمه برنامهها و سرویسهای متعدد، و سوء استفاده از توابع Everything32.dll برای جستجوی فایلهای هدف برای رمزگذاری مجهز است. اعتقاد بر این است که این تهدید حداقل تا حدی از سازنده باجافزار Conti که در مارس 2022 فاش شد، ایجاد شده است. اطلاعات مربوط به این تهدید در گزارشی منتشر شده توسط کارشناسان infosec منتشر شده است.
فهرست مطالب
تقلید از زنجیره عفونت باج افزار
تهدید Mimic به عنوان یک فایل اجرایی بر روی دستگاههای شکسته شده مستقر میشود که به نوبه خود، چندین باینری، از جمله یک بایگانی محافظت شده با رمز عبور را که به عنوان Everything64.dll پنهان شده است، حذف میکند. این آرشیو حاوی بار باج افزار است. همچنین شامل ابزارهایی برای غیرفعال کردن Windows Defender و باینری های قانونی sdel است.
هنگامی که باجافزار Mimic اجرا میشود، اجزای خود را در پوشه %Temp%/7zipSfx رها میکند و با استفاده از 7za.exe با دستور %Temp%\7ZipSfx.000\7za، Everything64.dll محافظتشده با رمز عبور را در همان فهرست استخراج میکند. exe." x -y -p20475326413135730160 Everything64.dll. علاوه بر این، یک فایل کلید جلسه به نام session.tmp را در همان دایرکتوری رها می کند که برای ادامه رمزگذاری در صورت وقفه در روند استفاده می شود.
پس از آن، باجافزار Mimic همه فایلهای حذفشده را قبل از تغییر نام به «bestplacetolive.exe» و حذف فایلهای اصلی از %Temp% در «%LocalAppData%{Random GUID}» کپی میکند.
قابلیت های تهدید آمیز باج افزار تقلید
باجافزار Mimic از چندین رشته و تابع CreateThread برای رمزگذاری سریع فایلها استفاده میکند و تحلیل آن را برای محققان امنیتی دشوار میکند. دارای طیف گسترده ای از قابلیت ها مانند جمع آوری اطلاعات سیستم، ایجاد پایداری از طریق کلید RUN، دور زدن کنترل حساب کاربری (UAC)، غیرفعال کردن Windows Defender و تله متری، فعال کردن اقدامات ضد خاموش شدن، خاتمه دادن به فرآیندها و خدمات، تداخل با بازیابی سیستم و موارد دیگر.
برای دستیابی به اهداف رمزگذاری خود، باجافزار Mimic از Everything32.dll - یک موتور جستجوی نام فایل قانونی ویندوز - سوء استفاده میکند تا پسوندهای فایل و نام فایلهای خاصی را برای بازیابی مسیرهای آنها، چه برای رمزگذاری یا برای حذف آنها از فرآیند رمزگذاری، جستجو کند. پس از رمزگذاری فایل های مورد نظر، تهدید پسوند "QUIETPLACE" را به نام آنها اضافه می کند. این تهدید چندین پیام باجخواه را نمایش میدهد - یکی در طول فرآیند راهاندازی، یکی بهعنوان یک فایل متنی با نام «Decrypt_me.txt» و دیگری که در یک پنجره بازشو روی صفحه نمایش دستگاه نشان داده میشود.
متن کامل درخواستهای باجافزار Mimic که در پنجره پاپآپ و فایل متنی یافت میشود:
'همه فایل های شما با ویروس ما رمزگذاری شده اند.
شناسه منحصر به فرد شما:
شما می توانید رمزگشایی کامل فایل های خود را خریداری کنید
اما قبل از پرداخت، می توانید مطمئن شوید که ما واقعاً می توانیم هر یک از فایل های شما را رمزگشایی کنیم.
کلید رمزگذاری و شناسه برای رایانه شما منحصر به فرد است، بنابراین تضمین می شود که می توانید فایل های خود را بازگردانید.
برای انجام این:
1) شناسه منحصر به فرد خود را - و حداکثر 3 فایل برای رمزگشایی آزمایشی ارسال کنید
تماس های ما
1.1) پیام رسان TOX (سریع و ناشناس)
hxxps://tox.chat/download.html
qtox را نصب کنید
مطبوعات بخوان
نام خود را ایجاد کنید
پلاس را فشار دهید
شناسه سم من را در آنجا قرار دهید
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
و من را اضافه کنید/پیام بنویسید
1.2) ICQ Messenger
چت زنده ICQ که 24/7 کار می کند - @mcdonaldsdebtzhlob
نرم افزار ICQ را بر روی رایانه شخصی خود در اینجا نصب کنید hxxps://icq.com/windows/ یا در گوشی هوشمند خود عبارت "ICQ" را در Appstore / Google Market جستجو کنید.
به ICQ ما بنویسید @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) اسکایپ
MCDONALDSDEBTZHLOB رمزگشایی
4) ایمیل (فقط در شرایط بحرانی بنویسید تا ایمیل شما تحویل داده نشود یا در هرزنامه دریافت شود) mcdonaldsdebtzhlob@onionmail.org
لطفاً در قسمت موضوع شناسه رمزگشایی خود را بنویسید: -
پس از رمزگشایی، ما فایل های رمزگشایی شده و یک کیف پول بیت کوین منحصر به فرد را برای پرداخت برای شما ارسال می کنیم.
پس از پرداخت باج برای بیت کوین، ما یک برنامه رمزگشایی و دستورالعمل ها را برای شما ارسال می کنیم. اگر بتوانیم فایل های شما را رمزگشایی کنیم، پس از پرداخت هیچ دلیلی برای فریب شما نداریم.
سوالات متداول:
آیا می توانم تخفیف بگیرم؟
خیر، مبلغ باج بر اساس تعداد فایل های اداری رمزگذاری شده محاسبه می شود و تخفیف ارائه نمی شود. همه این پیام ها به طور خودکار نادیده گرفته می شوند. اگر واقعاً فقط برخی از فایل ها را می خواهید، آنها را فشرده کنید و در جایی آپلود کنید. ما آنها را به قیمت 1 فایل = 1 دلار رمزگشایی می کنیم.
بیت کوین چیست؟
bitcoin.org را بخوانید
از کجا بیت کوین بخریم؟
hxxps://www.alfa.cash/buy-crypto-with-credit-card (سریعترین راه)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
یا از google.com استفاده کنید تا اطلاعاتی را پیدا کنید که کجا آن را بخرید
چه تضمینی وجود دارد که فایل هایم را پس بگیرم؟
این واقعیت که ما می توانیم فایل های تصادفی شما را رمزگشایی کنیم، تضمینی است. فریب دادن شما بی معنی است.
پس از پرداخت، با چه سرعتی برنامه کلید و رمزگشایی را دریافت خواهم کرد؟
به عنوان یک قاعده، در طول 15 دقیقه
برنامه رمزگشایی چگونه کار می کند؟
ساده است. شما باید نرم افزار ما را اجرا کنید. این برنامه به طور خودکار تمام فایل های رمزگذاری شده روی هارد دیسک شما را رمزگشایی می کند.
جزئیات سیستم فایل
# | نام فایل | MD5 |
تشخیص ها
تشخیص ها: تعداد موارد تایید شده و مشکوک از یک تهدید خاص که بر روی رایانه های آلوده شناسایی شده است که توسط SpyHunter گزارش شده است.
|
---|---|---|---|
1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |