Mimic Ransomware
Karta prijetnji
EnigmaSoft Kartica Prijetnji
EnigmaSoft Threat Scorecards su izvješća o procjeni različitih prijetnji od zlonamjernog softvera koje je prikupio i analizirao naš istraživački tim. EnigmaSoft Threat Scorecards procjenjuju i rangiraju prijetnje koristeći nekoliko metrika uključujući stvarne i potencijalne čimbenike rizika, trendove, učestalost, prevalenciju i postojanost. EnigmaSoft Threat Scorecards redovito se ažuriraju na temelju naših istraživačkih podataka i metrike i korisni su za širok raspon korisnika računala, od krajnjih korisnika koji traže rješenja za uklanjanje zlonamjernog softvera iz svojih sustava do sigurnosnih stručnjaka koji analiziraju prijetnje.
EnigmaSoft Threat Scorecards prikazuje niz korisnih informacija, uključujući:
Rangiranje: Poredak određene prijetnje u EnigmaSoftovoj bazi podataka o prijetnjama.
Razina ozbiljnosti: utvrđena razina ozbiljnosti objekta, predstavljena brojčano, na temelju našeg procesa modeliranja rizika i istraživanja, kao što je objašnjeno u našim Kriterijima za procjenu prijetnji .
Zaražena računala: Broj potvrđenih i sumnjivih slučajeva određene prijetnje otkrivene na zaraženim računalima prema izvještaju SpyHuntera.
Vidi također Kriteriji procjene prijetnji .
| Razina prijetnje: | 100 % (Visoko) |
| Zaražena računala: | 2 |
| Prvi put viđeno: | February 8, 2023 |
| Zadnje viđeno: | March 1, 2023 |
| Pogođeni OS: | Windows |
Istraživači kibernetičke sigurnosti objavili su pojedinosti o prethodno nepoznatom soju ransomwarea koji iskorištava prednosti API-ja Everythinga, Windows tražilice naziva datoteka koju je razvio Voidtools. Ovaj ransomware, praćen kao Mimic, prvi je put uočen u divljini u lipnju 2022. i čini se da cilja korisnike koji govore ruski i engleski.
Mimic Ransomware opremljen je višestrukim mogućnostima, poput brisanja kopija u sjeni, zatvaranja više aplikacija i usluga i zlouporabe funkcija Everything32.dll za postavljanje upita ciljnim datotekama za enkripciju. Vjeruje se da je prijetnja barem djelomično nastala iz Conti Ransomware buildera koji je procurio u ožujku 2022. Informacije o prijetnji objavljene su u izvješću koje su objavili stručnjaci za infosec.
Sadržaj
Oponaša lanac infekcije Ransomwarea
Prijetnja Mimic postavlja se na probijene uređaje kao izvršna datoteka koja zauzvrat ispušta više binarnih datoteka, uključujući arhivu zaštićenu lozinkom prerušenu u Everything64.dll. Ova arhiva sadrži sadržaj ransomwarea. Također uključuje alate za onemogućavanje Windows Defendera i legitimnih sdel binarnih datoteka.
Kada se Mimic Ransomware pokrene, ispustit će svoje komponente u mapu %Temp%/7zipSfx i ekstrahirati Everything64.dll zaštićen lozinkom u isti direktorij koristeći 7za.exe s naredbom: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. Osim toga, ispustit će datoteku ključa sesije pod nazivom session.tmp u isti direktorij, koji će se koristiti za nastavak šifriranja u slučaju prekida u procesu.
Nakon toga će Mimic Ransomware kopirati sve ispuštene datoteke u '%LocalAppData%{Random GUID}\' prije nego što se preimenuje u 'bestplacetolive.exe' i izbriše originalne datoteke iz %Temp%.
Prijeteće mogućnosti oponašajućeg ransomwarea
Mimic Ransomware koristi više niti i funkciju CreateThread za brzo šifriranje datoteka, što otežava analizu sigurnosnih istraživača. Ima širok raspon mogućnosti, kao što je prikupljanje informacija o sustavu, stvaranje postojanosti putem tipke RUN, zaobilaženje kontrole korisničkog računa (UAC), onemogućavanje Windows Defendera i telemetrije, aktiviranje mjera protiv gašenja, prekidanje procesa i usluga, ometanje Oporavak sustava i više.
Kako bi postigao svoje ciljeve enkripcije, Mimic Ransomware zlorabi Everything32.dll - legitimnu tražilicu naziva datoteka sustava Windows - za postavljanje upita određenim ekstenzijama datoteka i nazivima datoteka kako bi dohvatio njihove staze, bilo za enkripciju ili kako bi ih isključio iz procesa šifriranja. Nakon šifriranja ciljnih datoteka, prijetnja njihovim imenima dodaje ekstenziju '.QUIETPLACE'. Prijetnja prikazuje više poruka koje zahtijevaju otkupninu - jednu tijekom procesa pokretanja, jednu kao tekstualnu datoteku pod nazivom 'Decrypt_me.txt' i drugu koja se prikazuje u skočnom prozoru na zaslonu uređaja.
Potpuni tekst zahtjeva Mimic Ransomwarea koji se nalazi u skočnom prozoru i tekstualnoj datoteci je:
'Sve vaše datoteke šifrirane su našim virusom.
Vaš jedinstveni ID:Možete kupiti potpuno dešifriranje svojih datoteka
Ali prije nego što platite, možete se uvjeriti da stvarno možemo dešifrirati bilo koju od vaših datoteka.
Ključ za šifriranje i ID jedinstveni su za vaše računalo, tako da je zajamčeno da možete vratiti svoje datoteke.Uraditi ovo:
1) Pošaljite svoj jedinstveni ID - i najviše 3 datoteke za testno dešifriranje
NAŠI KONTAKTI
1.1)TOX messenger (brz i anoniman)
hxxps://tox.chat/download.html
Instalirajte qtox
pritisnite pjevati
stvorite vlastito ime
Pritisnite plus
Stavi tamo moj tox ID
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
I dodaj me/napiši poruku
1.2) ICQ Messenger
ICQ live chat koji radi 24/7 - @mcdonaldsdebtzhlob
Instalirajte ICQ softver na svoje računalo ovdje hxxps://icq.com/windows/ ili na svom pametnom telefonu potražite "ICQ" u Appstore/Google marketu
Pišite na naš ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Skype
MCDONALDSDEBTZHLOB DEKRIPCIJA
4)Pošta (pišite samo u kritičnim situacijama jer vaša e-pošta možda neće biti isporučena ili će doći u spam) mcdonaldsdebtzhlob@onionmail.orgU predmetu napišite svoj ID za dešifriranje: -
Nakon dešifriranja poslat ćemo vam dekriptirane datoteke i jedinstveni bitcoin novčanik za plaćanje.
Nakon uplate otkupnine za Bitcoin, poslat ćemo vam program za dešifriranje i upute. Ako možemo dekriptirati vaše datoteke, nemamo razloga prevariti vas nakon plaćanja.PITANJA:
Mogu li dobiti popust?
Ne. Iznos otkupnine izračunava se na temelju broja šifriranih uredskih datoteka i nema popusta. Sve takve poruke bit će automatski zanemarene. Ako stvarno želite samo neke od datoteka, zipajte ih i prenesite negdje. Dekodirat ćemo ih po cijeni 1 datoteke = 1$.
Što je Bitcoin?
čitaj bitcoin.org
Gdje kupiti bitcoine?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (najbrži način)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
ili upotrijebite google.com kako biste pronašli informacije gdje ga kupiti
Gdje je jamstvo da ću dobiti svoje datoteke natrag?
Sama činjenica da možemo dešifrirati vaše nasumične datoteke jamstvo je. Nema smisla da vas varamo.
Koliko brzo ću nakon uplate dobiti ključ i program za dešifriranje?
U pravilu, tijekom 15 min
Kako radi program za dešifriranje?
Jednostavno je. Morate pokrenuti naš softver. Program će automatski dekriptirati sve šifrirane datoteke na vašem HDD-u.'
Pojedinosti o datotečnom sustavu
| # | Naziv datoteke | MD5 |
Detekcije
Detekcije: Broj potvrđenih i sumnjivih slučajeva određene prijetnje otkrivene na zaraženim računalima prema izvještaju SpyHuntera.
|
|---|---|---|---|
| 1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |
