Mimic Ransomware
Grėsmių rezultatų kortelė
„EnigmaSoft“ grėsmių rezultatų kortelė
„EnigmaSoft Threat Scorecard“ yra įvairių kenkėjiškų programų grėsmių įvertinimo ataskaitos, kurias surinko ir išanalizavo mūsų tyrimų komanda. „EnigmaSoft Threat Scorecard“ įvertina ir reitinguoja grėsmes, naudodama keletą metrikų, įskaitant realius ir galimus rizikos veiksnius, tendencijas, dažnumą, paplitimą ir pastovumą. „EnigmaSoft Threat Scorecards“ yra reguliariai atnaujinamos remiantis mūsų tyrimų duomenimis ir metrika ir yra naudingos daugeliui kompiuterių vartotojų – nuo galutinių vartotojų, ieškančių sprendimų, kaip pašalinti kenkėjiškas programas iš savo sistemų, iki saugumo ekspertų, analizuojančių grėsmes.
„EnigmaSoft Threat Scorecard“ rodo įvairią naudingą informaciją, įskaitant:
Reitingas: konkrečios grėsmės reitingas „EnigmaSoft“ grėsmių duomenų bazėje.
Sunkumo lygis: nustatytas objekto sunkumo lygis, pavaizduotas skaičiais, remiantis mūsų rizikos modeliavimo procesu ir tyrimais, kaip paaiškinta mūsų grėsmių vertinimo kriterijuose.
Užkrėsti kompiuteriai: „SpyHunter“ užfiksuotas patvirtintų ir įtariamų tam tikros grėsmės atvejų, aptiktų užkrėstuose kompiuteriuose, skaičius.
Taip pat žr. Grėsmių vertinimo kriterijus .
| Grėsmės lygis: | 100 % (Aukštas) |
| Užkrėsti kompiuteriai: | 2 |
| Pirmą kartą pamatytas: | February 8, 2023 |
| Paskutinį kartą matytas: | March 1, 2023 |
| Paveikta (-os) OS: | Windows |
Kibernetinio saugumo tyrėjai paskelbė išsamią informaciją apie anksčiau nežinomą išpirkos reikalaujančią programinę įrangą, kuri naudojasi „Voidtools“ sukurtu „Windows“ failų pavadinimų paieškos sistemos „APIs of Everything“ pranašumais. Ši išpirkos reikalaujanti programa, sekama kaip Mimic, pirmą kartą buvo pastebėta gamtoje 2022 m. birželio mėn. ir atrodo, kad ji skirta tiek rusiškai, tiek angliškai kalbantiems vartotojams.
„Mimic Ransomware“ turi daug galimybių, pvz., „Shadow Volume“ kopijų ištrynimą, kelių programų ir paslaugų nutraukimą ir piktnaudžiavimą Everything32.dll funkcijomis, siekiant užklausti tikslinių failų šifravimui. Manoma, kad grėsmė bent iš dalies buvo sukurta iš Conti Ransomware kūrėjo, kuris buvo nutekintas 2022 m. kovo mėn. Informacija apie grėsmę buvo paskelbta ataskaitoje, kurią paskelbė infosec ekspertai.
Turinys
Imituoti Ransomware infekcijos grandinę
Mimic grėsmė yra įdiegta pažeistuose įrenginiuose kaip vykdomasis failas, kuris savo ruožtu pašalina kelis dvejetainius failus, įskaitant slaptažodžiu apsaugotą archyvą, užmaskuotą kaip Everything64.dll. Šiame archyve yra išpirkos reikalaujančios programos naudingoji apkrova. Jame taip pat yra įrankiai, skirti išjungti „Windows Defender“ ir teisėtus sdel dvejetainius failus.
Kai vykdoma „Mimic Ransomware“, ji numes savo komponentus į aplanką %Temp%/7zipSfx ir ištrauks slaptažodžiu apsaugotą Everything64.dll į tą patį katalogą naudodama 7za.exe su komanda: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. Be to, į tą patį katalogą bus numestas seanso rakto failas, vadinamas session.tmp, kuris bus naudojamas tęsti šifravimą, jei procesas nutrūktų.
Vėliau „Mimic Ransomware“ nukopijuos visus išmestus failus į „%LocalAppData%{Random GUID}\“, prieš persivadindama į „bestplacetolive.exe“ ir ištrindama originalius failus iš „%Temp%.
Grėsmingos „Mimic Ransomware“ galimybės
„Mimic Ransomware“ naudoja kelias gijas ir „CreateThread“ funkciją, kad greitai užšifruotų failus, todėl saugumo tyrinėtojams sunku juos analizuoti. Jis turi daugybę galimybių, pavyzdžiui, rinkti informaciją apie sistemą, sukurti pastovumą naudojant RUN raktą, apeiti vartotojo abonemento valdymą (UAC), išjungti „Windows Defender“ ir telemetriją, suaktyvinti apsaugos nuo išjungimo priemones, nutraukti procesus ir paslaugas, trukdyti sistemos atkūrimas ir dar daugiau.
Kad pasiektų savo šifravimo tikslus, „Mimic Ransomware“ piktnaudžiauja Everything32.dll – teisėta „Windows“ failų pavadinimų paieškos sistema, kad pateiktų užklausas dėl tam tikrų failų plėtinių ir failų pavadinimų, kad gautų jų kelius, kad būtų galima šifruoti arba pašalinti juos iš šifravimo proceso. Užšifravus tikslinius failus, grėsmė prie jų pavadinimų prideda plėtinį „.QUIETPLACE“. Grėsmė rodo kelis išpirkos reikalaujančius pranešimus – vieną paleidimo proceso metu, vieną kaip tekstinį failą pavadinimu „Decrypt_me.txt“, o kitą – įrenginio ekrano iššokančiajame lange.
Visas „Mimic Ransomware“ reikalavimų tekstas, rastas iššokančiajame lange ir tekstiniame faile:
„Visi jūsų failai buvo užšifruoti mūsų virusu.
Jūsų unikalus ID:Galite nusipirkti visišką failų iššifravimą
Tačiau prieš mokėdami galite įsitikinti, kad tikrai galime iššifruoti bet kurį jūsų failą.
Šifravimo raktas ir ID yra unikalūs jūsų kompiuteriui, todėl garantuojate, kad galėsite grąžinti failus.Padaryti tai:
1) Atsiųskite savo unikalų ID ir ne daugiau kaip 3 failus bandomajam iššifravimui
MŪSŲ KONTAKTAI
1.1) TOX pasiuntinys (greitas ir anoniminis)
hxxps://tox.chat/download.html
Įdiekite qtox
paspauskite dainuoti
susikurk savo vardą
Paspauskite pliusą
Įdėkite ten mano toksiko ID
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
Ir pridėkite mane / parašykite žinutę
1.2) ICQ Messenger
ICQ tiesioginis pokalbis, veikiantis 24 valandas per parą, 7 dienas per savaitę – @mcdonaldsdebtzhlob
Įdiekite ICQ programinę įrangą savo kompiuteryje čia hxxps://icq.com/windows/ arba savo išmaniajame telefone ieškokite „ICQ“ „Appstore“ / „Google Market“
Rašykite į mūsų ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Skype
MCDONALDSDEBTZHLOB DEKRIPAVIMAS
4) paštas (rašykite tik kritinėmis situacijomis bcs, jūsų el. laiškas gali būti nepristatytas arba patekti į šlamštą) mcdonaldsdebtzhlob@onionmail.orgTemos eilutėje parašykite savo iššifravimo ID: -
Po iššifravimo atsiųsime jums iššifruotus failus ir unikalią bitcoin piniginę apmokėjimui.
Sumokėję išpirką už Bitcoin, atsiųsime jums iššifravimo programą ir instrukcijas. Jei galime iššifruoti jūsų failus, po apmokėjimo neturime jokios priežasties jus apgauti.DUK:
Ar galiu gauti nuolaidą?
Ne. Išpirkos suma apskaičiuojama pagal užšifruotų biuro failų skaičių ir nuolaidos neteikiamos. Visi tokie pranešimai bus automatiškai ignoruojami. Jei tikrai norite tik kai kurių failų, supakuokite juos ir kur nors įkelkite. Mes juos iššifruosime už 1 failo kainą = 1 USD.
Kas yra Bitcoin?
skaitykite bitcoin.org
Kur nusipirkti bitkoinų?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (greičiausias būdas)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
arba naudokite google.com, kad rastumėte informacijos, kur ją įsigyti
Kur garantija, kad atgausiu failus?
Pats faktas, kad galime iššifruoti jūsų atsitiktinius failus, yra garantija. Mums nėra prasmės jus apgauti.
Kaip greitai po apmokėjimo gausiu raktą ir iššifravimo programą?
Paprastai per 15 min
Kaip veikia iššifravimo programa?
Tai paprasta. Turite paleisti mūsų programinę įrangą. Programa automatiškai iššifruos visus HDD užšifruotus failus.
Failų sistemos informacija
| # | Failo pavadinimas | MD5 |
Aptikimai
Aptikimai: „SpyHunter“ užfiksuotas patvirtintų ir įtariamų tam tikros grėsmės atvejų, aptiktų užkrėstuose kompiuteriuose, skaičius.
|
|---|---|---|---|
| 1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |
