חיקו תוכנת כופר
כרטיס ניקוד איומים
כרטיס ניקוד של EnigmaSoft Threat
EnigmaSoft Threat Scorecards הם דוחות הערכה לאיומי תוכנות זדוניות שונים אשר נאספו ונותחו על ידי צוות המחקר שלנו. כרטיסי ניקוד איום של EnigmaSoft מעריכים ומדרגים איומים באמצעות מספר מדדים, כולל גורמי סיכון, מגמות, תדירות, שכיחות והתמדה בעולם האמיתי ופוטנציאלי. כרטיסי הניקוד של EnigmaSoft Threat Card מתעדכנים באופן קבוע על סמך נתוני המחקר והמדדים שלנו והם שימושיים עבור מגוון רחב של משתמשי מחשב, ממשתמשי קצה המחפשים פתרונות להסרת תוכנות זדוניות מהמערכות שלהם ועד למומחי אבטחה המנתחים איומים.
כרטיסי הניקוד של EnigmaSoft Threat מציגים מגוון מידע שימושי, כולל:
דירוג: הדירוג של איום מסוים במאגר האיומים של EnigmaSoft.
רמת חומרה: רמת החומרה שנקבעה של אובייקט, מיוצגת מספרית, בהתבסס על תהליך מודל הסיכון והמחקר שלנו, כפי שהוסבר בקריטריוני הערכת האיום שלנו.
מחשבים נגועים: מספר המקרים המאושרים והחשודים של איום מסוים שזוהה במחשבים נגועים כפי שדווח על ידי SpyHunter.
ראה גם קריטריונים להערכת איומים .
רמת איום: | 100 % (גָבוֹהַ) |
מחשבים נגועים: | 2 |
נראה לראשונה: | February 8, 2023 |
נראה לאחרונה: | March 1, 2023 |
מערכת הפעלה מושפעת: | Windows |
חוקרי אבטחת סייבר פרסמו פרטים על זן תוכנת כופר שלא היה ידוע בעבר, המנצל את ה-APIs of Everything, מנוע חיפוש של שמות קבצים של Windows שפותח על ידי Voidtools. תוכנת הכופר הזו, המלווה בשם Mimic, נצפתה לראשונה בטבע ביוני 2022 ונראה כי היא מכוונת למשתמשים דוברי רוסית ואנגלית כאחד.
תוכנת הכופר Mimic מצוידת במספר יכולות, כגון מחיקת עותקי נפח הצללים, סיום מספר יישומים ושירותים וניצול לרעה של פונקציות Everything32.dll כדי לבצע שאילתות בקבצי יעד להצפנה. מאמינים שהאיום פותח לפחות חלקית מבונה Conti Ransomware שהודלף במרץ 2022. מידע על האיום פורסם בדו"ח שפרסמו מומחי infosec.
תוכן העניינים
מחקה את שרשרת ההדבקה של Ransomware
האיום של Mimic נפרס על המכשירים שנפרצו כקובץ הפעלה, שבתורו מפיל מספר קבצים בינאריים, כולל ארכיון מוגן בסיסמה המחופש ל- Everything64.dll. ארכיון זה מכיל את מטען הכופר. זה כולל גם כלים להשבית את Windows Defender וקבצי sdel בינאריים לגיטימיים.
כאשר תוכנת הכופר Mimic מבוצעת, היא תפיל את רכיביה לתיקיית %Temp%/7zipSfx ותחלץ את Everything64.dll המוגן בסיסמה לאותה ספרייה באמצעות 7za.exe עם הפקודה: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. בנוסף, הוא יוריד קובץ מפתח הפעלה בשם session.tmp לאותה ספרייה, אשר ישמש להמשך הצפנה במקרה של הפרעה בתהליך.
לאחר מכן, התוכנה Mimic Ransomware תעתיק את כל הקבצים שנפלטו אל '%LocalAppData%{Random GUID}\' לפני שתשנה את שמה ל-'bestplacetolive.exe' ותמחק את הקבצים המקוריים מ-%Temp%.
היכולות המאיימות של תוכנת הכופר ה-Mimic
התוכנה Mimic Ransomware משתמשת במספר שרשורים ובפונקציית CreateThread כדי להצפין קבצים במהירות, מה שמקשה על חוקרי אבטחה לנתח. יש לו מגוון רחב של יכולות, כגון איסוף מידע מערכת, יצירת התמדה באמצעות מפתח RUN, עקיפת בקרת חשבון המשתמש (UAC), השבתת Windows Defender וטלמטריה, הפעלת אמצעים נגד כיבוי, סיום תהליכים ושירותים, הפרעה שחזור המערכת ועוד.
כדי להשיג את מטרות ההצפנה שלה, ה-Mimic Ransomware משתמש לרעה ב- Everything32.dll - מנוע חיפוש לגיטימי של שמות קבצים של Windows - כדי לבצע שאילתות על סיומות קבצים ושמות קבצים מסוימים כדי לאחזר את הנתיבים שלהם, או לצורך הצפנה או כדי להוציא אותם מתהליך ההצפנה. לאחר הצפנת קבצי היעד, האיום מוסיף את הסיומת '.QUIETPLACE' לשמותיהם. האיום מציג מספר הודעות הדורשות כופר - אחת במהלך תהליך ההפעלה, אחת כקובץ טקסט בשם 'Decrypt_me.txt', ואחרת שמוצגת בחלון מוקפץ על מסך המכשיר.
הטקסט המלא של הדרישות של Mimic Ransomware שנמצא בחלון המוקפץ ובקובץ הטקסט הוא:
"כל הקבצים שלך הוצפנו עם הווירוס שלנו.
המזהה הייחודי שלך:
אתה יכול לקנות פענוח מלא של הקבצים שלך
אבל לפני שאתה משלם, אתה יכול לוודא שאנחנו באמת יכולים לפענח כל אחד מהקבצים שלך.
מפתח ההצפנה והמזהה ייחודיים למחשב שלך, כך שמובטח לך שתוכל להחזיר את הקבצים שלך.
כדי לעשות זאת:
1) שלח את המזהה הייחודי שלך - ומקסימום 3 קבצים לפענוח בדיקה
אנשי הקשר שלנו
1.1) שליח TOX (מהיר ואנוני)
hxxps://tox.chat/download.html
התקן את qtox
לחץ לשיר למעלה
ליצור שם משלך
לחץ על פלוס
שים שם את תעודת הטוקס שלי
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
ותוסיף אותי/כתוב הודעה
1.2) ICQ Messenger
צ'אט חי ICQ שעובד 24/7 - @mcdonaldsdebtzhlob
התקן את תוכנת ICQ במחשב האישי שלך כאן hxxps://icq.com/windows/ או בסמארטפון שלך חפש "ICQ" באפסטור / Google market
כתוב ל-ICQ שלנו @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) סקייפ
תיאור MCDONALDSDEBTZHLOB
4) דואר (כתוב רק במצבים קריטיים לפני שאולי הדוא"ל שלך לא יישלח או יגיע לספאם) mcdonaldsdebtzhlob@onionmail.org
בשורת הנושא אנא כתוב את מזהה הפענוח שלך: -
לאחר הפענוח, נשלח אליכם את הקבצים המפוענחים וארנק ביטקוין ייחודי לתשלום.
לאחר תשלום כופר עבור ביטקוין, נשלח לך תוכנית פענוח והנחיות. אם נוכל לפענח את הקבצים שלך, אין לנו סיבה להונות אותך לאחר התשלום.
שאלות נפוצות:
אפשר לקבל הנחה?
לא. סכום הכופר מחושב על סמך מספר קבצי המשרד המוצפנים ולא ניתנות הנחות. כל הודעות כאלה יתעלמו אוטומטית. אם אתה באמת רוצה רק חלק מהקבצים, דחס אותם והעלה אותם למקום כלשהו. נפענח אותם במחיר של קובץ אחד = 1$.
מה זה ביטקוין?
קרא bitcoin.org
איפה קונים ביטקוין?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (הדרך המהירה ביותר)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
או השתמש ב-google.com כדי למצוא מידע היכן לקנות אותו
איפה הערבות שאקבל בחזרה את הקבצים שלי?
עצם העובדה שאנו יכולים לפענח את הקבצים האקראיים שלך היא ערובה. זה לא הגיוני שנוכל להונות אותך.
באיזו מהירות אקבל את המפתח ותוכנית הפענוח לאחר התשלום?
ככלל, במהלך 15 דקות
כיצד פועלת תוכנית הפענוח?
זה פשוט. אתה צריך להפעיל את התוכנה שלנו. התוכנה תפענח אוטומטית את כל הקבצים המוצפנים בדיסק הקשיח שלך.'
פרטי מערכת הקבצים
# | שם קובץ | MD5 |
זיהויים
זיהויים: מספר המקרים המאושרים והחשודים של איום מסוים שזוהה במחשבים נגועים כפי שדווח על ידי SpyHunter.
|
---|---|---|---|
1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |