Ransomware utánzás
Threat Scorecard
EnigmaSoft Threat Scorecard
Az EnigmaSoft Threat Scorecardok különböző rosszindulatú programok fenyegetéseinek értékelési jelentései, amelyeket kutatócsoportunk gyűjtött össze és elemzett. Az EnigmaSoft Threat Scorecardok számos mérőszám segítségével értékelik és rangsorolják a fenyegetéseket, beleértve a valós és potenciális kockázati tényezőket, trendeket, gyakoriságot, prevalenciát és tartósságot. Az EnigmaSoft Threat Scorecardokat kutatási adataink és mérőszámaink alapján rendszeresen frissítjük, és a számítógép-felhasználók széles köre számára hasznosak, a rosszindulatú programokat rendszerükből eltávolító megoldásokat kereső végfelhasználóktól a fenyegetéseket elemző biztonsági szakértőkig.
Az EnigmaSoft Threat Scorecardok számos hasznos információt jelenítenek meg, többek között:
Rangsor: Egy adott fenyegetés rangsorolása az EnigmaSoft fenyegetési adatbázisában.
Súlyossági szint: Egy objektum meghatározott súlyossági szintje, számszerűen ábrázolva, kockázati modellezési folyamatunk és kutatásunk alapján, a fenyegetésértékelési kritériumainkban leírtak szerint.
Fertőzött számítógépek: A fertőzött számítógépeken észlelt bizonyos fenyegetés megerősített és feltételezett eseteinek száma, a SpyHunter jelentése szerint.
Lásd még: Fenyegetésértékelési kritériumok .
| Veszélyszint: | 100 % (Magas) |
| Fertőzött számítógépek: | 2 |
| Először látott: | February 8, 2023 |
| Utoljára látva: | March 1, 2023 |
| Érintett operációs rendszer(ek): | Windows |
A kiberbiztonsági kutatók részleteket hoztak nyilvánosságra egy korábban ismeretlen zsarolóvírus-törzsről, amely a Voidtools által kifejlesztett Windows fájlnév-kereső, az Everything API-jait használja ki. Ezt a zsarolóprogramot, amelyet Mimic néven nyomon követnek, először 2022 júniusában észlelték a vadonban, és úgy tűnik, hogy orosz és angolul beszélő felhasználókat is megcéloz.
A Mimic Ransomware több funkcióval is rendelkezik, mint például a Shadow Volume Copies törlése, több alkalmazás és szolgáltatás leállítása, valamint az Everything32.dll funkcióival való visszaélés a célfájlok titkosításának lekérdezéséhez. A fenyegetést legalább részben a 2022 márciusában kiszivárogtatott Conti Ransomware építőből fejlesztették ki. A fenyegetéssel kapcsolatos információkat az infosec szakértői által közzétett jelentésben közölték.
Tartalomjegyzék
A Ransomware fertőzési láncának utánzása
A Mimic fenyegetés a feltört eszközökön végrehajtható fájlként kerül telepítésre, amely viszont több bináris fájlt is eldob, beleértve az Everything64.dll néven álcázott, jelszóval védett archívumot. Ez az archívum tartalmazza a ransomware rakományt. Eszközöket is tartalmaz a Windows Defender és a legitim sdel binárisok letiltásához.
Amikor a Mimic Ransomware végrehajtódik, az összetevőit a %Temp%/7zipSfx mappába helyezi, és a jelszóval védett Everything64.dll fájlt ugyanabba a könyvtárba bontja ki a 7za.exe segítségével a következő paranccsal: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. Ezenkívül a session.tmp nevű munkamenetkulcs-fájlt is eldobja ugyanabba a könyvtárba, amelyet a folyamat megszakadása esetén a titkosítás folytatására használ.
Ezt követően a Mimic Ransomware átmásolja az összes eldobott fájlt a '%LocalAppData%{Random GUID}\'-ba, mielőtt átnevezné magát "bestplacetolive.exe"-re, és törölné az eredeti fájlokat a %Temp%-ból.
A Mimic Ransomware fenyegető képességei
A Mimic Ransomware több szálat és a CreateThread funkciót alkalmazza a fájlok gyors titkosítására, ami megnehezíti a biztonsági kutatók számára az elemzést. Sokféle képességgel rendelkezik, mint például rendszerinformációk gyűjtése, állandóság létrehozása a RUN kulcson keresztül, a felhasználói fiókok felügyeletének (UAC) megkerülése, a Windows Defender és a telemetria letiltása, a leállás elleni intézkedések aktiválása, folyamatok és szolgáltatások leállítása, beavatkozás a Rendszer-helyreállítás és így tovább.
Titkosítási céljainak elérése érdekében a Mimic Ransomware visszaél az Everything32.dll-vel – egy legitim Windows fájlnév-kereső motorral –, hogy lekérdezzen bizonyos fájlkiterjesztéseket és fájlneveket, hogy lekérje az elérési utat, akár titkosítás céljából, akár azért, hogy kizárja őket a titkosítási folyamatból. A célfájlok titkosítása után a fenyegetés a „.QUIETPLACE” kiterjesztést fűzi a nevükhöz. A fenyegetés több váltságdíjat követelő üzenetet jelenít meg – az egyiket az indítási folyamat során, az egyiket „Decrypt_me.txt” szövegfájlként, a másikat pedig az eszköz képernyőjén megjelenő felugró ablakban.
A Mimic Ransomware követeléseinek teljes szövege a felugró ablakban és a szövegfájlban található:
„Minden fájlját a mi vírusunk titkosította.
Az Ön egyedi azonosítója:Megvásárolhatja a fájlok teljes visszafejtését
De mielőtt fizetne, megbizonyosodhat arról, hogy valóban vissza tudjuk fejteni bármelyik fájlját.
A titkosítási kulcs és az azonosító egyedi a számítógépére, így garantáltan vissza tudja küldeni fájljait.Ezt csináld meg:
1) Küldje el egyedi azonosítóját - és legfeljebb 3 fájlt teszt visszafejtéshez
ELÉRHETŐSÉGEINK
1.1) TOX üzenetküldő (gyors és névtelen)
hxxps://tox.chat/download.html
Telepítse a qtoxot
nyomd meg az éneklés gombot
létrehozni a saját nevét
Nyomja meg a pluszt
Tedd oda a toxazonosítómat
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
És add hozzá / írj üzenetet
1.2) ICQ Messenger
ICQ élő chat, amely éjjel-nappal működik - @mcdonaldsdebtzhlob
Telepítse az ICQ szoftvert a számítógépére itt: hxxps://icq.com/windows/, vagy okostelefonján keressen rá az „ICQ” kifejezésre az Appstore/Google Marketben
Írjon az ICQ-nak: @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Skype
MCDONALDSDEBTZHLOB DEKRIPCIÓ
4) Levelezés (csak kritikus helyzetekben írjon, bcs, előfordulhat, hogy az e-mailjeit nem kézbesítik, vagy nem kerül spambe) mcdonaldsdebtzhlob@onionmail.orgA tárgyba kérjük írja be a visszafejtési azonosítóját: -
A visszafejtés után fizetésre elküldjük Önnek a visszafejtett fájlokat és egy egyedi bitcoin pénztárcát.
A Bitcoin váltságdíjának kifizetése után küldünk Önnek egy visszafejtő programot és utasításokat. Ha sikerül visszafejteni a fájljait, nincs okunk megtéveszteni a fizetés után.GYIK:
Kaphatok kedvezményt?
Nem. A váltságdíj összegét a titkosított irodai fájlok száma alapján számítják ki, és a kedvezmények nem biztosítottak. Az összes ilyen üzenetet a rendszer automatikusan figyelmen kívül hagyja. Ha valóban csak néhány fájlt szeretne, csomagolja be őket, és töltse fel valahova. Dekódolni fogjuk őket 1 fájl = 1 dollár áráért.
Mi az a Bitcoin?
olvasd el a bitcoin.org oldalt
Hol lehet bitcoint vásárolni?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (leggyorsabb módja)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
vagy használja a google.com webhelyet, hogy megtudja, hol vásárolhatja meg
Hol van a garancia arra, hogy visszakapom a fájljaimat?
Maga a tény, hogy meg tudjuk fejteni a véletlenszerű fájljait, garancia. Nincs értelme megtévesztenünk.
Milyen gyorsan kapom meg a kulcsot és a visszafejtő programot fizetés után?
Általában 15 perc alatt
Hogyan működik a visszafejtő program?
Ez egyszerű. A szoftverünket futtatnia kell. A program automatikusan visszafejti az összes titkosított fájlt a HDD-n.
A fájlrendszer részletei
| # | Fájl név | MD5 |
Észlelések
Észlelések: A fertőzött számítógépeken észlelt bizonyos fenyegetés megerősített és feltételezett eseteinek száma, a SpyHunter jelentése szerint.
|
|---|---|---|---|
| 1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |
