MIRROR Ransomware

Kruopščiai išanalizavę galimas kenkėjiškų programų grėsmes, mokslininkai įtikinamai nustatė, kad MIRROR yra išpirkos reikalaujančios programos variantas. Pagrindinis MIRROR grėsmės tikslas yra užšifruoti failus, esančius pažeistuose įrenginiuose. Be to, ji pervardija failus ir išduoda du išpirkos raštelius – vieną iškylančiojo lango pavidalu, o kitą – tekstinį failą pavadinimu „info-MIRROR.txt“.

„MIRROR Ransomware“ taiko specifinę šifruojamų failų pavadinimo tvarką, pridedant aukos ID, „tpyrcedrorrim@tuta.io“ el. pašto adresą ir plėtinį „.Mr“. Pavyzdžiui, jis paverčia „1.pdf“ į „1.pdf.id-9ECFA74E.[tpyrcedrorrim@tuta.io].Mr“, o „2.png“ tampa „2.png.id-9ECFA74E.[tpyrcedrorrim@“ tuta.io].Ponas,' ir taip toliau. Ši konkreti grėsmė buvo priskirta Dharma Ransomware šeimos variantui.

„MIRROR Ransomware“ neapsiriboja failų šifravimu

Be failų šifravimo, MIRROR taiko strategines priemones, kad dar labiau pakenktų tikslinės sistemos saugumui. Viena iš tokių taktikų apima ugniasienės išjungimą, taip padidinant sistemos pažeidžiamumą dėl kenkėjiškos veiklos, kurią organizuoja išpirkos reikalaujančios programos. Be to, MIRROR imasi tyčinių veiksmų, kad ištrintų šešėlines tūrio kopijas, efektyviai pašalindama galimus atkūrimo taškus ir trukdydama atkūrimo pastangoms.

MIRROR išnaudoja nuotolinio darbalaukio protokolo (RDP) paslaugų spragas kaip pagrindinis infekcijos vektorius. Paprastai tai apima silpnų paskyros kredencialų išnaudojimą taikant tokius metodus kaip brutali jėga ir žodyno atakos. Naudodama šiuos metodus, išpirkos reikalaujanti programinė įranga įgyja neteisėtą prieigą prie sistemų, ypač tų, kurių paskyros apsauga netinkamai valdoma.

Be to, MIRROR turi galimybę išgauti vietos duomenis, leidžiančius atskirti užkrėstų sistemų geografinį kontekstą. Pažymėtina, kad jis turi galimybę iš duomenų gavybos apimties neįtraukti iš anksto nustatytų vietų. Be to, MIRROR apima patvarumo mechanizmus, užtikrinančius, kad jis ilgą laiką gali išlaikyti įsitvirtinimą pažeistoje sistemoje.

MIRROR Ransomware aukos yra išviliojamos už pinigus

„MIRROR Ransomware“ išpirkos laiškas yra užpuoliko pranešimas aukai, aiškiai nurodant, kad visi aukos failai buvo užšifruoti. Jame aprašomas galimas failo atkūrimo būdas, nurodant aukai užmegzti ryšį nurodytu el. pašto adresu (tpyrcedrorrim@tuta.io) ir pateikiant unikalų identifikatorių.

Kaip alternatyvi komunikacijos priemonė, pastaboje taip pat pateikiamas kitas el. pašto adresas (mirrorrorrim@cock.li). Pažymėtina, kad pastaba labai nerekomenduojama naudoti tarpininkų komunikacijai, nurodant galimą riziką, pvz., permokėjimą, nepagrįstą debetą ir operacijos atmetimą. Užpuolikai tvirtina, kad gali teikti užšifruotas duomenų atkūrimo paslaugas ir siūlo garantijas, įskaitant atkūrimo demonstravimą, apimantį iki trijų failų, kad pagrįstų savo įgūdžius.

Be to, išpirkos raštelyje aukai pateikiamas įspėjamasis įspėjimas, aiškiai patardamas nepervardyti šifruotų failų. Ji taip pat įspėja nebandyti iššifruoti naudojant trečiosios šalies programinę įrangą, pabrėždama galimas nuolatinio duomenų praradimo ar imlumo sukčiai pasekmes. Tikslas yra nukreipti auką į saugiausią veiksmų eigą, kad būtų maksimaliai padidintos sėkmingo failo atkūrimo galimybės, kartu sumažinant galimą riziką.

Imkitės priemonių, kad apsaugotumėte savo įrenginius nuo išpirkos reikalaujančių infekcijų

Ransomware kelia didelę grėsmę skaitmeninių įrenginių saugumui, o galimos pasekmės – nuo duomenų praradimo iki finansinio turto prievartavimo. Norint apsaugoti prietaisus nuo tokių infekcijų, labai svarbu įgyvendinti aktyvias priemones. Štai penki veiksmingi žingsniai, kuriuos gali atlikti vartotojai:

• Reguliariai atnaujinkite operacines sistemas ir programinę įrangą : labai svarbu nuolat atnaujinti operacines sistemas ir programinę įrangą, nes naujinimai dažnai apima saugos pataisas, kurios pašalina pažeidžiamumą. Reguliariai tikrinkite ir taikykite naujinimus, kad sumažintumėte riziką, kad išpirkos reikalaujančios programos išnaudos žinomus trūkumus.
• Įdiekite ir prižiūrėkite saugos programinę įrangą : patikimos saugos programinės įrangos naudojimas suteikia papildomą apsaugą nuo išpirkos reikalaujančių programų. Įsitikinkite, kad apsaugos nuo kenkėjiškų programų programa yra reguliariai atnaujinama, ir atlikite suplanuotus nuskaitymus, kad aptiktumėte ir pašalintumėte galimas grėsmes, kol jos nepakenks jūsų įrenginiui.
• Būkite atsargūs su el. pašto priedais ir nuorodomis : Ransomware dažnai įsiskverbia į sistemas per sukčiavimo el. laiškus, kuriuose yra kenkėjiškų priedų ar nuorodų. Būkite labai atsargūs atidarydami el. laiškus iš nežinomų siuntėjų, stenkitės nespausti įtartinų nuorodų ir neatsisiųskite priedų, nebent būtų patikrintas jų teisėtumas.
• Reguliariai kurkite atsargines duomenų kopijas : svarbių duomenų atsarginių kopijų kūrimas yra svarbi prevencinė priemonė. Išpirkos reikalaujančios programinės įrangos atakos metu naujausios atsarginės kopijos leidžia vartotojams atkurti failus nepasiduodant turto prievartavimui. Saugokite atsargines kopijas išoriniame įrenginyje arba saugioje debesies paslaugoje.
• Įdiekite tinklo saugos priemones : Tinklo saugumo stiprinimas gali užkirsti kelią išpirkos reikalaujančių programų atakoms. Naudokite ugniasienes ir įsibrovimų aptikimo / prevencijos sistemas, naudokite unikalius ir stiprius slaptažodžius visiems įrenginiams ir paskyroms ir apsvarstykite galimybę segmentuoti tinklus, kad apribotumėte galimą infekcijos poveikį visai sistemai.

Taikydami šias priemones vartotojai gali žymiai padidinti savo įrenginių atsparumą išpirkos reikalaujančioms programoms, apsaugoti savo vertingus duomenis ir išlaikyti savo skaitmeninės aplinkos vientisumą.

Visas MIRROR Ransomware palikto pagrindinio išpirkos rašto tekstas yra toks:

'MIRROR
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: tpyrcedrorrim@tuta.io YOUR ID 9ECFA84E
If you have not answered by mail within 12 hours, write to us by another mail:mirrorrorrim@cock.li
We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.
-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.
Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Tekstiniame faile, kurį išmetė MIRROR Ransomware, yra toks pranešimas:

„Visi jūsų duomenys buvo užrakinti

Nori grįžti?

rašykite el.paštu tpyrcedrorrim@tuta.io arba mirrorrorrim@cock.li'