Simula ransomware
Cartoncino segnapunti di minaccia
Scheda di valutazione delle minacce di EnigmaSoft
Le EnigmaSoft Threat Scorecard sono rapporti di valutazione per diverse minacce malware che sono state raccolte e analizzate dal nostro team di ricerca. Le EnigmaSoft Threat Scorecard valutano e classificano le minacce utilizzando diverse metriche tra cui fattori di rischio reali e potenziali, tendenze, frequenza, prevalenza e persistenza. Le EnigmaSoft Threat Scorecard vengono aggiornate regolarmente in base ai dati e alle metriche della nostra ricerca e sono utili per un'ampia gamma di utenti di computer, dagli utenti finali che cercano soluzioni per rimuovere il malware dai loro sistemi agli esperti di sicurezza che analizzano le minacce.
Le schede di valutazione delle minacce di EnigmaSoft mostrano una serie di informazioni utili, tra cui:
Classifica: la classifica di una particolare minaccia nel database delle minacce di EnigmaSoft.
Livello di gravità: il livello di gravità determinato di un oggetto, rappresentato numericamente, in base al nostro processo di modellazione del rischio e alla nostra ricerca, come spiegato nei nostri criteri di valutazione delle minacce .
Computer infetti: il numero di casi confermati e sospetti di una particolare minaccia rilevati su computer infetti come riportato da SpyHunter.
Vedere anche Criteri di valutazione delle minacce .
| Livello di minaccia: | 100 % (Alto) |
| Computer infetti: | 2 |
| Visto per la prima volta: | February 8, 2023 |
| Ultima visualizzazione: | March 1, 2023 |
| Sistemi operativi interessati: | Windows |
I ricercatori della sicurezza informatica hanno rilasciato dettagli su un ceppo di ransomware precedentemente sconosciuto che sfrutta le API di tutto, un motore di ricerca di nomi di file di Windows sviluppato da Voidtools. Questo ransomware, tracciato come Mimic, è stato individuato per la prima volta nel giugno 2022 e sembra prendere di mira sia gli utenti di lingua russa che quelli di lingua inglese.
Mimic Ransomware è dotato di molteplici funzionalità, come l'eliminazione delle copie shadow del volume, la chiusura di più applicazioni e servizi e l'abuso delle funzioni Everything32.dll per interrogare i file di destinazione per la crittografia. Si ritiene che la minaccia sia stata sviluppata almeno in parte dal builder Conti Ransomware che è trapelato nel marzo 2022. Le informazioni sulla minaccia sono state rilasciate in un rapporto pubblicato dagli esperti di infosec.
Sommario
Simula la catena di infezione del ransomware
La minaccia Mimic viene distribuita sui dispositivi violati come un file eseguibile che, a sua volta, rilascia più file binari, incluso un archivio protetto da password mascherato da Everything64.dll. Questo archivio contiene il payload del ransomware. Include anche strumenti per disabilitare Windows Defender e binari sdel legittimi.
Quando viene eseguito Mimic Ransomware, rilascerà i suoi componenti nella cartella %Temp%/7zipSfx ed estrarrà Everything64.dll protetto da password nella stessa directory utilizzando 7za.exe con il comando: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. Inoltre, rilascerà un file chiave di sessione chiamato session.tmp nella stessa directory, che verrà utilizzato per continuare la crittografia in caso di interruzione del processo.
Successivamente, Mimic Ransomware copierà tutti i file rilasciati in '%LocalAppData%{Random GUID}\' prima di rinominarsi in 'bestplacetolive.exe' ed eliminare i file originali da %Temp%.
Le capacità minacciose del Mimic Ransomware
Mimic Ransomware utilizza più thread e la funzione CreateThread per crittografare rapidamente i file, rendendo difficile l'analisi per i ricercatori di sicurezza. Ha una vasta gamma di funzionalità, come la raccolta di informazioni di sistema, la creazione di persistenza tramite il tasto RUN, l'esclusione del controllo dell'account utente (UAC), la disabilitazione di Windows Defender e la telemetria, l'attivazione di misure anti-arresto, la terminazione di processi e servizi, l'interferenza con il ripristino del sistema e altro ancora.
Per raggiungere i suoi obiettivi di crittografia, Mimic Ransomware abusa di Everything32.dll, un motore di ricerca di nomi di file Windows legittimo, per interrogare determinate estensioni di file e nomi di file per recuperare i loro percorsi, sia per la crittografia che per escluderli dal processo di crittografia. Dopo aver crittografato i file di destinazione, la minaccia aggiunge l'estensione ".QUIETPLACE" ai loro nomi. La minaccia visualizza più messaggi di richiesta di riscatto: uno durante il processo di avvio, uno come file di testo denominato "Decrypt_me.txt" e un altro che viene visualizzato in una finestra pop-up sullo schermo del dispositivo.
Il testo completo delle richieste di Mimic Ransomware trovato nella finestra pop-up e nel file di testo è:
'Tutti i tuoi file sono stati crittografati con il nostro virus.
Il tuo ID univoco:Puoi acquistare la decrittazione completa dei tuoi file
Ma prima di pagare, puoi assicurarti che possiamo davvero decrittografare tutti i tuoi file.
La chiave di crittografia e l'ID sono univoci per il tuo computer, quindi sei sicuro di poter restituire i tuoi file.Per fare questo:
1) Invia il tuo ID univoco e un massimo di 3 file per la decrittazione di prova
I NOSTRI CONTATTI
1.1) TOX messenger (veloce e anonimo)
hxxps://tox.chat/download.html
Installa qtox
premere cantare
crea il tuo nome
Premi più
Metti lì il mio documento tossicologico
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
E aggiungimi/scrivi messaggio
1.2) Messaggero ICQ
Chat dal vivo di ICQ che funziona 24 ore su 24, 7 giorni su 7 - @mcdonaldsdebtzhlob
Installa il software ICQ sul tuo PC qui hxxps://icq.com/windows/ o sul tuo smartphone cerca "ICQ" in Appstore / Google market
Scrivi al nostro ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Skype
DECRITTOGRAFIA MCDONALDSDEBTZHLOB
4) Mail (scrivi solo in situazioni critiche perché la tua email potrebbe non essere consegnata o finire nello spam) mcdonaldsdebtzhlob@onionmail.orgNella riga dell'oggetto, scrivi il tuo ID di decrittazione: -
Dopo la decrittazione, ti invieremo i file decrittati e un unico portafoglio bitcoin per il pagamento.
Dopo il pagamento del riscatto per Bitcoin, ti invieremo un programma di decrittazione e le istruzioni. Se riusciamo a decrittografare i tuoi file, non abbiamo motivo di ingannarti dopo il pagamento.FAQ:
Posso avere uno sconto?
No. L'importo del riscatto viene calcolato in base al numero di file Office crittografati e non sono previsti sconti. Tutti questi messaggi verranno automaticamente ignorati. Se vuoi davvero solo alcuni dei file, comprimili e caricali da qualche parte. Li decodificheremo al prezzo di 1 file = 1$.
Cos'è Bitcoin?
leggi bitcoin.org
Dove comprare bitcoin?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (modo più veloce)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
oppure utilizza google.com per trovare informazioni su dove acquistarlo
Dov'è la garanzia che riceverò indietro i miei file?
Il fatto stesso che possiamo decrittografare i tuoi file casuali è una garanzia. Non ha senso per noi ingannarti.
In quanto tempo riceverò la chiave e il programma di decrittazione dopo il pagamento?
Di regola, durante 15 min
Come funziona il programma di decrittazione?
È semplice. Devi eseguire il nostro software. Il programma decrittograferà automaticamente tutti i file crittografati sul disco rigido.'
Dettagli del file system
| # | Nome del file | MD5 |
Rilevazioni
Rilevamenti: il numero di casi confermati e sospetti di una particolare minaccia rilevati su computer infetti come riportato da SpyHunter.
|
|---|---|---|---|
| 1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |
