랜섬웨어 모방

사이버 보안 연구원들이 Voidtools에서 개발한 Windows 파일 이름 검색 엔진인 APIs of Everything을 이용하는 이전에 알려지지 않은 랜섬웨어 변종에 대한 세부 정보를 공개했습니다. Mimic으로 추적된 이 랜섬웨어는 2022년 6월 야생에서 처음 발견되었으며 러시아어와 영어 사용자 모두를 대상으로 하는 것으로 보입니다.

Mimic 랜섬웨어는 Shadow Volume Copy 삭제, 여러 애플리케이션 및 서비스 종료, Everything32.dll 기능을 악용하여 암호화 대상 파일을 쿼리하는 등 다양한 기능을 갖추고 있습니다. 이 위협은 2022년 3월에 다시 유출된 Conti Ransomware 빌더에서 적어도 부분적으로 개발된 것으로 보입니다. 이 위협에 대한 정보는 infosec 전문가가 발표한 보고서에서 공개되었습니다.

랜섬웨어의 감염 사슬 모방

Mimic 위협은 침입한 장치에 실행 파일로 배포되어 Everything64.dll로 위장한 암호로 보호된 아카이브를 포함하여 여러 바이너리를 삭제합니다. 이 아카이브에는 랜섬웨어 페이로드가 포함되어 있습니다. 또한 Windows Defender 및 합법적인 sdel 바이너리를 비활성화하는 도구도 포함되어 있습니다.

Mimic Ransomware가 실행되면 해당 구성 요소를 %Temp%/7zipSfx 폴더에 드롭하고 %Temp%\7ZipSfx.000\7za 명령과 함께 7za.exe를 사용하여 암호로 보호된 Everything64.dll을 동일한 디렉터리에 추출합니다. .exe" x -y -p20475326413135730160 Everything64.dll. 또한 session.tmp라는 세션 키 파일을 동일한 디렉터리에 드롭하여 프로세스 중단 시 암호화를 계속하는 데 사용됩니다.

이후 Mimic Ransomware는 드롭된 모든 파일을 '%LocalAppData%{Random GUID}\'에 복사한 후 'bestplacetolive.exe'로 이름을 바꾸고 %Temp%에서 원본 파일을 삭제합니다.

Mimic 랜섬웨어의 위협적인 기능

Mimic 랜섬웨어는 다중 스레드와 CreateThread 기능을 사용하여 파일을 빠르게 암호화하므로 보안 연구원이 분석하기 어렵습니다. 시스템 정보 수집, RUN 키를 통한 지속성 생성, UAC(사용자 계정 컨트롤) 우회, Windows Defender 및 원격 측정 비활성화, 종료 방지 조치 활성화, 프로세스 및 서비스 종료, 시스템 복구 등.

암호화 목표를 달성하기 위해 Mimic Ransomware는 적법한 Windows 파일 이름 검색 엔진인 Everything32.dll을 악용하여 특정 파일 확장명과 파일 이름을 쿼리하여 암호화하거나 암호화 프로세스에서 제외하도록 경로를 검색합니다. 대상 파일을 암호화한 후 위협 요소는 이름에 '.QUIETPLACE' 확장자를 추가합니다. 이 위협 요소는 여러 개의 몸값을 요구하는 메시지를 표시합니다. 하나는 시작 프로세스 중에 하나는 'Decrypt_me.txt'라는 텍스트 파일로, 다른 하나는 장치 화면의 팝업 창에 표시됩니다.

팝업창과 텍스트 파일에 나타난 Mimic Ransomware의 요구 전문은 다음과 같습니다.

'모든 파일이 우리 바이러스로 암호화되었습니다.
귀하의 고유 ID:

파일의 완전한 암호 해독을 구입할 수 있습니다
그러나 지불하기 전에 귀하의 파일을 실제로 해독할 수 있는지 확인할 수 있습니다.
암호화 키와 ID는 컴퓨터마다 고유하므로 파일을 반환할 수 있습니다.

이것을하기 위해:
1) 테스트 복호화를 위해 고유 ID 및 최대 3개의 파일을 전송합니다.
우리의 연락처
1.1)TOX 메신저(빠르고 익명)
hxxps://tox.chat/download.html
qtox 설치
노래 부르다
나만의 이름 만들기
더하기 누르기
거기에 내 tox ID 입력
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
그리고 나를 추가/메시지 쓰기
1.2) ICQ 메신저
연중무휴로 작동하는 ICQ 라이브 채팅 - @mcdonaldsdebtzhlob
hxxps://icq.com/windows/에서 PC에 ICQ 소프트웨어를 설치하거나 스마트폰에서 Appstore/Google 마켓에서 "ICQ"를 검색하여 설치하십시오.
우리 ICQ에 쓰기 @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3)스카이프
MCDONALDSDEBTZHLOB 복호화
4)메일(메일이 배달되지 않거나 스팸메일에 들어갈 수 있으니 중요한 상황에서만 쓰세요) mcdonaldsdebtzhlob@onionmail.org

제목에 복호화 ID를 적어주세요: -

복호화 후에는 복호화된 파일과 지불을 위한 고유한 비트코인 지갑을 보내드립니다.
Bitcoin에 대한 몸값 지불 후 암호 해독 프로그램과 지침을 보내드립니다. 귀하의 파일을 해독할 수 있다면 결제 후 귀하를 속일 이유가 없습니다.

자주하는 질문:
할인을 받을 수 있나요?
아니요. 랜섬 금액은 암호화된 오피스 파일 수를 기준으로 계산되며 할인은 제공되지 않습니다. 이러한 모든 메시지는 자동으로 무시됩니다. 파일 중 일부만 원하는 경우 파일을 압축하여 어딘가에 업로드하십시오. 우리는 1 파일 = 1$의 가격으로 그것들을 해독할 것입니다.
비트코인이란 무엇입니까?
bitcoin.org 읽기
비트코인은 어디서 사나요?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (가장 빠른 방법)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
또는 google.com을 사용하여 구입처 정보 찾기
내 파일을 다시 받을 것이라는 보장은 어디에 있습니까?
임의의 파일을 해독할 수 있다는 사실이 보장됩니다. 우리가 당신을 속이는 것은 말이 되지 않습니다.
결제 후 키와 암호 해독 프로그램을 얼마나 빨리 받을 수 있나요?
원칙적으로 15분 동안
암호 해독 프로그램은 어떻게 작동합니까?
간단 해. 소프트웨어를 실행해야 합니다. 이 프로그램은 HDD에 있는 모든 암호화된 파일을 자동으로 해독합니다.'