MIRROR Ransomware

Analysoituaan perusteellisesti mahdollisia haittaohjelmauhkia tutkijat ovat lopullisesti tunnistaneet MIRRORin kiristysohjelman muunnelmaksi. MIRROR-uhan ensisijainen tavoite on salata vaarantuneissa laitteissa olevat tiedostot. Lisäksi se nimeää tiedostot uudelleen ja antaa kaksi lunnaita – toisen ponnahdusikkunan muodossa ja toisen tekstitiedostona nimeltä "info-MIRROR.txt".

MIRROR Ransomware käyttää erityistä nimeämiskäytäntöä tiedostoille, jotka se salaa, ja liittää mukaan uhrin tunnuksen, tpyrcedrorrim@tuta.io sähköpostiosoitteen ja .Mr-tunnisteen. Se esimerkiksi muuntaa tiedoston 1.pdf muotoon 1.pdf.id-9ECFA74E.[tpyrcedrorrim@tuta.io].Mr, ja 2.png muuttuu muotoon 2.png.id-9ECFA74E.[tpyrcedrorrim@ tuta.io].Mr, ja niin edelleen. Tämä erityinen uhka on luokiteltu Dharma Ransomware -perheen muunnelmaksi.

MIRROR Ransomware ylittää tiedostosalauksen

Tiedostojen salauksen lisäksi MIRROR käyttää strategisia toimenpiteitä, jotka vaarantavat kohteena olevan järjestelmän turvallisuuden entisestään. Yksi tällainen taktiikka sisältää palomuurin poistamisen käytöstä, mikä lisää järjestelmän haavoittuvuutta kiristysohjelmien järjestämille haitallisille toimille. Lisäksi MIRROR ryhtyy tahallisiin toimiin Shadow Volume -kopioiden poistamiseksi, mikä eliminoi tehokkaasti mahdolliset palautuspisteet ja estää palautuspyrkimyksiä.

MIRROR hyödyntää Remote Desktop Protocol (RDP) -palveluiden haavoittuvuuksia ensisijaisena tartuntavektorina. Tämä tarkoittaa tyypillisesti heikkojen tilin valtuustietojen hyödyntämistä menetelmillä, kuten raa'alla voimalla ja sanakirjahyökkäyksillä. Hyödyntämällä näitä tekniikoita lunnasohjelma saa luvattoman pääsyn järjestelmiin, erityisesti sellaisiin järjestelmiin, joiden tilin suojaus on riittämätön.

Lisäksi MIRROR pystyy poimimaan sijaintitietoja, jolloin se pystyy erottamaan tartunnan saaneiden järjestelmien maantieteellisen kontekstin. Erityisesti sillä on mahdollisuus sulkea pois ennalta määrätyt paikat tietojen poiminta-alasta. Lisäksi MIRROR sisältää pysyvyysmekanismeja, jotka varmistavat, että se voi säilyttää jalansijan vaarantuneessa järjestelmässä pitkän ajan.

MIRROR Ransomwaren uhreja kiristetään rahasta

MIRROR Ransomwaren lunnaita koskeva viesti toimii viestinä hyökkääjiltä uhrille, ja siinä todetaan nimenomaisesti, että kaikki uhrin tiedostot on salattu. Siinä hahmotellaan mahdollinen tapa tiedostojen palauttamiselle, neuvotaan uhria ottamaan yhteyttä tietyn sähköpostiosoitteen kautta (tpyrcedrorrim@tuta.io) ja annetaan yksilöllinen tunniste.

Vaihtoehtoisena viestintäkeinona muistiinpanossa on myös toinen sähköpostiosoite (mirrorrorrim@cock.li). Huomioi erityisesti, että se ei suosita välittäjien käyttöä viestinnässä, koska se vetoaa mahdollisiin riskeihin, kuten ylihinnoitteluun, perusteettomaan veloitukseen ja tapahtuman hylkäämiseen. Hyökkääjät vakuuttavat kykynsä tarjota salattuja tietojen palautuspalveluita ja tarjota takuita, mukaan lukien palautusesittely, joka sisältää enintään kolme tiedostoa pätevyyden todistamiseksi.

Lisäksi lunnaita koskeva huomautus antaa uhrille varoituksen, joka neuvoo nimenomaisesti olemaan nimeämättä salattuja tiedostoja uudelleen. Se myös varoittaa yrittämästä salauksen purkamista kolmannen osapuolen ohjelmistojen avulla ja korostaa pysyvän tietojen katoamisen tai huijausalttiuden mahdollisia seurauksia. Tarkoituksena on ohjata uhria turvallisimpaan toimintatapaan, jotta tiedostojen palautuksen onnistumisen mahdollisuudet voidaan maksimoida ja mahdolliset riskit minimoitua.

Ryhdy toimenpiteisiin vahvistaaksesi laitteesi kiristyshaittaohjelmia vastaan

Ransomware muodostaa merkittävän uhan digitaalisten laitteiden turvallisuudelle, ja sen mahdolliset seuraukset vaihtelevat tietojen katoamisesta taloudelliseen kiristykseen. Ennakoivien toimenpiteiden toteuttaminen on ratkaisevan tärkeää laitteiden vahvistamiseksi tällaisia infektioita vastaan. Tässä on viisi tehokasta vaihetta, jotka käyttäjät voivat tehdä:

• Päivitä käyttöjärjestelmät ja ohjelmistot säännöllisesti : Käyttöjärjestelmien ja ohjelmistojen pitäminen ajan tasalla on elintärkeää, koska päivitykset sisältävät usein tietoturvakorjauksia, jotka korjaavat haavoittuvuuksia. Tarkista ja asenna päivityksiä säännöllisesti vähentääksesi riskiä, että kiristysohjelmat käyttävät hyväkseen tunnettuja heikkouksia.
• Asenna ja ylläpidä suojausohjelmistoa : Luotettavan tietoturvaohjelmiston käyttäminen antaa lisäsuojan lunnasohjelmia vastaan. Varmista, että haittaohjelmien torjuntaohjelma päivitetään säännöllisesti ja suorita ajoitettuja tarkistuksia mahdollisten uhkien havaitsemiseksi ja poistamiseksi ennen kuin ne voivat vaarantaa laitteesi.
• Ole varovainen sähköpostin liitteiden ja linkkien kanssa : Ransomware tunkeutuu usein järjestelmiin haitallisia liitteitä tai linkkejä sisältävien tietojenkalasteluviestien kautta. Ole erittäin varovainen, kun avaat tuntemattomilta lähettäjiltä tulevia sähköposteja, yritä olla klikkaamatta epäilyttäviä linkkejä ja pidättäytyä lataamasta liitteitä, ellei niiden laillisuutta ole varmistettu.
• Varmuuskopioi tiedot säännöllisesti : Olennaisten tietojen säännöllinen varmuuskopiointi on kriittinen ehkäisevä toimenpide. Kiristysohjelmahyökkäyksessä viimeaikaiset varmuuskopiot antavat käyttäjille mahdollisuuden palauttaa tiedostonsa joutumatta kiristykseen. Tallenna varmuuskopiot ulkoiselle laitteelle tai suojattuun pilvipalveluun.
• Ota käyttöön verkon suojaustoimenpiteet : Verkkoturvallisuuden vahvistaminen voi estää kiristysohjelmahyökkäykset. Hyödynnä palomuureja ja tunkeutumisen havaitsemis- ja estojärjestelmiä, käytä ainutlaatuisia ja vahvoja salasanoja kaikille laitteille ja tileille ja harkitse verkkojen segmentointia rajoittaaksesi tartunnan mahdollisia vaikutuksia koko järjestelmään.

Ottamalla nämä toimenpiteet käyttöön käyttäjät voivat merkittävästi parantaa laitteidensa kestävyyttä kiristysohjelmia vastaan, turvata arvokkaita tietojaan ja ylläpitää digitaalisen ympäristönsä eheyttä.

MIRROR Ransomwaren jättämän päälunnasilmoituksen koko teksti on:

'MIRROR
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: tpyrcedrorrim@tuta.io YOUR ID 9ECFA84E
If you have not answered by mail within 12 hours, write to us by another mail:mirrorrorrim@cock.li
We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.
-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.
Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

MIRROR Ransomwaren pudottama tekstitiedosto sisältää seuraavan viestin:

'Kaikki tietosi on lukittu meille

Haluatko palata?

kirjoita sähköpostia tpyrcedrorrim@tuta.io tai mirrorrorrim@cock.li'