मिमिक रैंसमवेयर

साइबर सुरक्षा शोधकर्ताओं ने पहले के अज्ञात रैंसमवेयर स्ट्रेन के बारे में विवरण जारी किया है जो कि Voidtools द्वारा विकसित एक विंडोज़ फाइलनेम सर्च इंजन, एपीआई ऑफ एवरीथिंग का लाभ उठाता है। मिमिक के रूप में ट्रैक किए गए इस रैंसमवेयर को पहली बार जून 2022 में जंगल में देखा गया था और ऐसा लगता है कि यह रूसी और अंग्रेजी बोलने वाले दोनों उपयोगकर्ताओं को निशाना बना रहा है।

मिमिक रैंसमवेयर कई क्षमताओं से लैस है, जैसे कि शैडो वॉल्यूम कॉपियों को हटाना, कई एप्लिकेशन और सेवाओं को समाप्त करना, और एन्क्रिप्शन के लिए लक्ष्य फ़ाइलों को क्वेरी करने के लिए Everything32.dll फ़ंक्शंस का दुरुपयोग करना। ऐसा माना जाता है कि खतरा कम से कम आंशिक रूप से कोंटी रैंसमवेयर बिल्डर से विकसित हुआ था, जिसे मार्च 2022 में वापस लीक कर दिया गया था। खतरे के बारे में जानकारी इन्फोसेक विशेषज्ञों द्वारा जारी एक रिपोर्ट में जारी की गई थी।

मिमिक रैंसमवेयर की संक्रमण श्रृंखला

मिमिक खतरे को उल्लंघन किए गए उपकरणों पर एक निष्पादन योग्य फ़ाइल के रूप में तैनात किया जाता है, जो बदले में, कई बायनेरिज़ को छोड़ देता है, जिसमें एवरीथिंग64.dll के रूप में प्रच्छन्न पासवर्ड-संरक्षित संग्रह शामिल है। इस संग्रह में रैनसमवेयर पेलोड है। इसमें विंडोज डिफेंडर और वैध एसडीएल बायनेरिज़ को अक्षम करने के लिए उपकरण भी शामिल हैं।

जब मिमिक रैंसमवेयर निष्पादित किया जाता है, तो यह अपने घटकों को %Temp%/7zipSfx फ़ोल्डर में छोड़ देगा और पासवर्ड से सुरक्षित सब कुछ64.dll को उसी निर्देशिका में 7za.exe का उपयोग करके कमांड के साथ निकाल देगा: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll। इसके अतिरिक्त, यह session.tmp नामक एक सत्र कुंजी फ़ाइल को उसी निर्देशिका में छोड़ देगा, जिसका उपयोग प्रक्रिया में रुकावट के मामले में एन्क्रिप्शन जारी रखने के लिए किया जाएगा।

बाद में, मिमिक रैंसमवेयर सभी हटाई गई फ़ाइलों को '%LocalAppData%{Random GUID}\' में कॉपी कर लेगा और इसके बाद उसका नाम बदलकर 'bestplacetolive.exe' कर दिया जाएगा और मूल फ़ाइलों को %Temp% से हटा दिया जाएगा।

मिमिक रैंसमवेयर की खतरनाक क्षमताएं

मिमिक रैंसमवेयर फाइलों को जल्दी से एन्क्रिप्ट करने के लिए कई थ्रेड्स और क्रिएटथ्रेड फ़ंक्शन का उपयोग करता है, जिससे सुरक्षा शोधकर्ताओं के लिए विश्लेषण करना मुश्किल हो जाता है। इसमें क्षमताओं की एक विस्तृत श्रृंखला है, जैसे कि सिस्टम की जानकारी एकत्र करना, RUN कुंजी के माध्यम से दृढ़ता बनाना, उपयोगकर्ता खाता नियंत्रण (UAC) को बायपास करना, विंडोज डिफेंडर और टेलीमेट्री को अक्षम करना, शटडाउन-रोधी उपायों को सक्रिय करना, प्रक्रियाओं और सेवाओं को समाप्त करना, हस्तक्षेप करना सिस्टम पुनर्प्राप्ति और अधिक।

अपने एन्क्रिप्शन लक्ष्यों को प्राप्त करने के लिए, Mimic Ransomware Everything32.dll - एक वैध Windows फ़ाइलनाम खोज इंजन - का दुरुपयोग करता है - कुछ फ़ाइल एक्सटेंशन और फ़ाइल नामों को उनके पथ को पुनः प्राप्त करने के लिए, या तो एन्क्रिप्शन के लिए या उन्हें एन्क्रिप्शन प्रक्रिया से बाहर करने के लिए। लक्षित फ़ाइलों को एन्क्रिप्ट करने के बाद, खतरा उनके नाम के आगे '.QUIETPLACE' एक्सटेंशन जोड़ देता है। खतरा कई फिरौती मांगने वाले संदेशों को प्रदर्शित करता है - एक स्टार्ट-अप प्रक्रिया के दौरान, एक 'Decrypt_me.txt' नाम की टेक्स्ट फ़ाइल के रूप में और दूसरा जो डिवाइस की स्क्रीन पर पॉप-अप विंडो में दिखाया जाता है।

पॉप-अप विंडो और टेक्स्ट फाइल में मिमिक रैंसमवेयर की मांगों का पूरा टेक्स्ट है:

'आपकी सभी फाइलें हमारे वायरस से एन्क्रिप्ट की गई हैं।
आपकी अनूठी आईडी:

आप अपनी फाइलों का पूरी तरह से डिक्रिप्शन खरीद सकते हैं
लेकिन भुगतान करने से पहले, आप यह सुनिश्चित कर सकते हैं कि हम वास्तव में आपकी किसी भी फाइल को डिक्रिप्ट कर सकते हैं।
एन्क्रिप्शन कुंजी और आईडी आपके कंप्यूटर के लिए अद्वितीय हैं, इसलिए आपको अपनी फ़ाइलें वापस करने में सक्षम होने की गारंटी है।

यह करने के लिए:
1) परीक्षण डिक्रिप्शन के लिए अपनी अनूठी आईडी - और अधिकतम 3 फाइलें भेजें
हमारे संपर्क
1.1) TOX मैसेंजर (तेज और गुमनाम)
hxxps://tox.chat/download.html
क्यूटॉक्स स्थापित करें
सिंग अप दबाएं
अपना नाम बनाएँ
प्रेस प्लस
वहां मेरी टॉक्सिक आईडी डालें
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
और मुझे जोड़ें/संदेश लिखें
1.2) आईसीक्यू मैसेंजर
ICQ लाइव चैट जो 24/7 काम करती है - @mcdonaldsdebtzhlob
अपने पीसी पर ICQ सॉफ्टवेयर स्थापित करें यहाँ hxxps://icq.com/windows/ या अपने स्मार्टफोन पर Appstore / Google Market में "ICQ" खोजें
हमारे ICQ @pedrolloanisimka hxxps पर लिखें: //icq.im/mcdonaldsdebtzhlob
1.3) स्काइप
MCDONALDSDEBTZHLOB डिक्रिप्शन
4) मेल करें (सिर्फ गंभीर परिस्थितियों में ही लिखें बीसीएस आपका ईमेल डिलीवर नहीं हो सकता है या स्पैम में आ सकता है) mcdonaldsdebtzhlob@onionmail.org

सब्जेक्ट लाइन में कृपया अपना डिक्रिप्शन आईडी लिखें:-

डिक्रिप्शन के बाद, हम आपको डिक्रिप्ट की गई फाइलें और भुगतान के लिए एक अद्वितीय बिटकॉइन वॉलेट भेजेंगे।
बिटकॉइन के लिए फिरौती का भुगतान करने के बाद, हम आपको डिक्रिप्शन प्रोग्राम और निर्देश भेजेंगे। अगर हम आपकी फाइलों को डिक्रिप्ट कर सकते हैं, तो हमारे पास भुगतान के बाद आपको धोखा देने का कोई कारण नहीं है।

सामान्य प्रश्न:
क्या मुझे छूट मिल सकती है?
नहीं। फिरौती की राशि की गणना एन्क्रिप्टेड कार्यालय फाइलों की संख्या के आधार पर की जाती है और छूट प्रदान नहीं की जाती है। ऐसे सभी संदेशों को स्वचालित रूप से अनदेखा कर दिया जाएगा। यदि आप वास्तव में केवल कुछ फ़ाइलें चाहते हैं, तो उन्हें ज़िप करें और उन्हें कहीं अपलोड करें। हम उन्हें 1 फ़ाइल = 1$ की कीमत पर डिकोड करेंगे।
बिटकॉइन क्या है?
बिटकॉइन.ओआरजी पढ़ें
बिटकॉइन कहां से खरीदें?
hxxps: //www.alfa.cash/buy-crypto-with-credit-card (सबसे तेज़ तरीका)
buy.coingate.com
hxxps://bitcoin.org/hi/buy
hxxps://buy.moonpay.io
Binance.com
या जानकारी प्राप्त करने के लिए google.com का उपयोग करें कि इसे कहां से खरीदा जाए
इसकी गारंटी कहां है कि मुझे अपनी फाइलें वापस मिल जाएंगी?
यह तथ्य कि हम आपकी रैंडम फाइलों को डिक्रिप्ट कर सकते हैं, एक गारंटी है। हमें आपको धोखा देने का कोई मतलब नहीं है।
भुगतान के बाद मुझे कितनी जल्दी कुंजी और डिक्रिप्शन प्रोग्राम प्राप्त होगा?
एक नियम के रूप में, 15 मिनट के दौरान
डिक्रिप्शन प्रोग्राम कैसे काम करता है?
यह आसान है। आपको हमारा सॉफ़्टवेयर चलाने की आवश्यकता है। प्रोग्राम स्वचालित रूप से आपके एचडीडी पर सभी एन्क्रिप्टेड फाइलों को डिक्रिप्ट करेगा।'