Mimic Ransomware

Kyberturvallisuustutkijat ovat julkaisseet yksityiskohtia aiemmin tuntemattomasta kiristysohjelmakannasta, joka hyödyntää Voidtoolsin kehittämää Windowsin tiedostonimihakukoneen API-liittymiä. Tämä Mimic-nimellä jäljitetty kiristysohjelma havaittiin ensimmäisen kerran luonnossa kesäkuussa 2022, ja se näyttää kohdistuvan sekä venäjän että englanninkielisiin käyttäjiin.

Mimic Ransomware on varustettu useilla ominaisuuksilla, kuten Shadow Volume -kopioiden poistaminen, useiden sovellusten ja palveluiden lopettaminen ja Everything32.dll-toimintojen väärinkäyttö kohdetiedostojen salauskyselyissä. Uhan uskotaan ainakin osittain kehittyneen Conti Ransomware -rakennusohjelmasta , joka vuoti jo maaliskuussa 2022. Uhkauksesta kerrottiin infosec-asiantuntijoiden julkaisemassa raportissa.

Jäljittele Ransomwaren infektioketjua

Mimic-uhka otetaan käyttöön rikottuihin laitteisiin suoritettavana tiedostona, joka puolestaan pudottaa useita binaaritiedostoja, mukaan lukien salasanalla suojatun arkiston, joka on naamioitu nimellä Everything64.dll. Tämä arkisto sisältää ransomware-hyötykuorman. Se sisältää myös työkalut Windows Defenderin ja laillisten sdel-binaarien poistamiseen käytöstä.

Kun Mimic Ransomware suoritetaan, se pudottaa osansa %Temp%/7zipSfx-kansioon ja purkaa salasanalla suojatun Everything64.dll-tiedoston samaan hakemistoon käyttämällä tiedostoa 7za.exe komennolla: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. Lisäksi se pudottaa samaan hakemistoon istuntoavaintiedoston session.tmp, jota käytetään salauksen jatkamiseen, jos prosessi keskeytyy.

Myöhemmin Mimic Ransomware kopioi kaikki pudonneet tiedostot '%LocalAppData%{Random GUID}\'-kansioon ennen kuin nimeää itsensä uudelleen nimellä "bestplacetolive.exe" ja poistaa alkuperäiset tiedostot %Temp%.

Mimic Ransomwaren uhkaavat ominaisuudet

Mimic Ransomware käyttää useita säikeitä ja CreateThread-toimintoa tiedostojen nopeaan salaamiseen, mikä vaikeuttaa tietoturvatutkijoiden analysointia. Sillä on laaja valikoima ominaisuuksia, kuten järjestelmätietojen kerääminen, pysyvyyden luominen RUN-avaimen avulla, käyttäjätilien valvonnan (UAC) ohittaminen, Windows Defenderin ja telemetrian poistaminen käytöstä, sammutuksen estotoimenpiteiden aktivointi, prosessien ja palveluiden lopettaminen, toiminnan häiritseminen. Järjestelmän palautus ja paljon muuta.

Saavuttaakseen salaustavoitteensa Mimic Ransomware käyttää väärin Everything32.dll:tä - laillista Windowsin tiedostonimien hakukonetta - hakeakseen tiettyjä tiedostopäätteitä ja tiedostonimiä niiden polkujen hakemiseksi joko salausta varten tai sulkeakseen ne pois salausprosessista. Kun kohdetiedostot on salattu, uhka liittää niiden nimiin .QUIETPLACE-laajennuksen. Uhka näyttää useita lunnaita vaativia viestejä – yhden käynnistysprosessin aikana, toisen tekstitiedostona nimeltä "Decrypt_me.txt" ja toisen, joka näkyy ponnahdusikkunassa laitteen näytöllä.

Mimic Ransomwaren vaatimusten koko teksti ponnahdusikkunasta ja tekstitiedostosta on:

'Kaikki tiedostosi on salattu Our-viruksella.
Ainutlaatuinen tunnuksesi:

Voit ostaa tiedostojesi täydellisen salauksen purkamisen
Mutta ennen kuin maksat, voit varmistaa, että voimme todella purkaa minkä tahansa tiedostosi salauksen.
Salausavain ja tunnus ovat yksilöllisiä tietokoneellesi, joten voit taatusti palauttaa tiedostosi.

Tehdä tämä:
1) Lähetä yksilöllinen tunnuksesi - ja enintään 3 tiedostoa testisalauksen purkamista varten
YHTEYSTIEDOT
1.1) TOX Messenger (nopea ja nimetön)
hxxps://tox.chat/download.html
Asenna qtox
paina laula ylös
luo oma nimesi
Paina plus
Laita sinne tox-tunnukseni
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
Ja lisää minut/kirjoita viesti
1.2) ICQ Messenger
ICQ live chat, joka toimii 24/7 - @mcdonaldsdebtzhlob
Asenna ICQ-ohjelmisto tietokoneellesi täältä hxxps://icq.com/windows/ tai etsi älypuhelimellasi "ICQ" Appstoresta / Google Marketista
Kirjoita ICQ:lle @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Skype
MCDONALDSDEBTZHLOB DECRYPTION
4)Sähköposti (kirjoita vain kriittisissä tilanteissa bcs, sähköpostisi ei ehkä toimita tai joudu roskapostiin) mcdonaldsdebtzhlob@onionmail.org

Kirjoita aiheriville salauksenpurkutunnuksesi: -

Salauksen purkamisen jälkeen lähetämme sinulle puretut tiedostot ja ainutlaatuisen bitcoin-lompakon maksua varten.
Bitcoinin lunnaiden maksamisen jälkeen lähetämme sinulle salauksen purkuohjelman ja ohjeet. Jos voimme purkaa tiedostosi salauksen, meillä ei ole syytä pettää sinua maksun jälkeen.

UKK:
Voinko saada alennuksen?
Ei. Lunnaiden määrä lasketaan salattujen toimistotiedostojen määrän perusteella, eikä alennuksia anneta. Kaikki tällaiset viestit ohitetaan automaattisesti. Jos todella haluat vain osan tiedostoista, pakkaa ne ja lataa ne jonnekin. Puramme ne hintaan 1 tiedosto = 1$.
Mikä on Bitcoin?
lue bitcoin.org
Mistä ostaa bitcoineja?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (nopein tapa)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
tai etsi osoitteesta google.com, mistä voit ostaa sen
Missä on takuu, että saan tiedostoni takaisin?
Se, että voimme purkaa satunnaisten tiedostojesi salauksen, on takuu. Meidän ei ole järkevää pettää sinua.
Kuinka nopeasti saan avaimen ja salauksenpurkuohjelman maksun jälkeen?
Pääsääntöisesti 15 min
Kuinka salauksenpurkuohjelma toimii?
Se on yksinkertaista. Sinun on suoritettava ohjelmistomme. Ohjelma purkaa automaattisesti kaikki kiintolevylläsi olevat salatut tiedostot.