Atdarināt Ransomware
Draudu rādītāju karte
EnigmaSoft draudu rādītāju karte
EnigmaSoft draudu rādītāju kartes ir dažādu ļaunprātīgas programmatūras draudu novērtējuma ziņojumi, kurus ir apkopojusi un analizējusi mūsu pētnieku komanda. EnigmaSoft draudu rādītāju kartes novērtē un sarindo draudus, izmantojot vairākus rādītājus, tostarp reālos un iespējamos riska faktorus, tendences, biežumu, izplatību un noturību. EnigmaSoft draudu rādītāju kartes tiek regulāri atjauninātas, pamatojoties uz mūsu pētījumu datiem un metriku, un tās ir noderīgas plašam datoru lietotāju lokam, sākot no gala lietotājiem, kuri meklē risinājumus ļaunprātīgas programmatūras noņemšanai no savām sistēmām, līdz drošības ekspertiem, kas analizē draudus.
EnigmaSoft Threat Scorecards parāda dažādu noderīgu informāciju, tostarp:
Ranking: konkrētu draudu klasifikācija EnigmaSoft draudu datu bāzē.
Smaguma pakāpe: objekta noteiktais smaguma līmenis, kas attēlots skaitliski, pamatojoties uz mūsu riska modelēšanas procesu un izpēti, kā paskaidrots mūsu draudu novērtēšanas kritērijos .
Inficēti datori: apstiprināto un aizdomīgo gadījumu skaits par konkrētu apdraudējumu, kas atklāts inficētos datoros, kā ziņo SpyHunter.
Skatīt arī draudu novērtēšanas kritērijus .
Draudu līmenis: | 100 % (Augsts) |
Inficētie datori: | 2 |
Pirmo reizi redzēts: | February 8, 2023 |
Pēdējo reizi redzēts: | March 1, 2023 |
Ietekmētā(s) OS(-es): | Windows |
Kiberdrošības pētnieki ir izlaiduši detalizētu informāciju par iepriekš nezināmu izspiedējvīrusu celmu, kas izmanto API Viss, Windows failu nosaukumu meklētājprogrammu, ko izstrādājusi Voidtools. Šis izspiedējvīruss, kas izsekots kā Mimic, pirmo reizi savvaļā tika pamanīts 2022. gada jūnijā, un šķiet, ka tā mērķauditorija ir gan krieviski, gan angliski runājoši lietotāji.
Mimic Ransomware ir aprīkota ar vairākām iespējām, piemēram, ēnu sējuma kopiju dzēšanu, vairāku lietojumprogrammu un pakalpojumu pārtraukšanu un All32.dll funkciju ļaunprātīgu izmantošanu, lai meklētu mērķa failus šifrēšanai. Tiek uzskatīts, ka draudi ir vismaz daļēji izstrādāti no Conti Ransomware veidotāja, kas tika nopludināts 2022. gada martā. Informācija par draudiem tika publicēta ziņojumā, ko publicēja infosec eksperti.
Satura rādītājs
Atdarināt Ransomware's infekcijas ķēdi
Mimic draudi tiek izvietoti uzlauztajās ierīcēs kā izpildāms fails, kas savukārt pamet vairākus bināros failus, tostarp ar paroli aizsargātu arhīvu, kas slēpts kā Everything64.dll. Šajā arhīvā ir izspiedējvīrusu lietderīgā slodze. Tas ietver arī rīkus Windows Defender un likumīgo sdel bināro failu atspējošanai.
Kad tiek izpildīts Mimic Ransomware, tas nometīs savus komponentus mapē %Temp%/7zipSfx un izvilks ar paroli aizsargāto Everything64.dll tajā pašā direktorijā, izmantojot 7za.exe ar komandu: %Temp%\7ZipSfx.000\7za. .exe" x -y -p20475326413135730160 Everything64.dll. Turklāt tajā pašā direktorijā tiks ievietots sesijas atslēgas fails session.tmp, kas tiks izmantots šifrēšanas turpināšanai procesa pārtraukuma gadījumā.
Pēc tam Mimic Ransomware kopēs visus nomestos failus uz '%LocalAppData%{Random GUID}\' pirms pārdēvēšanas par "bestplacetolive.exe" un sākotnējo failu dzēšanas no %Temp%.
Mimic Ransomware draudošās iespējas
Mimic Ransomware izmanto vairākus pavedienus un CreateThread funkciju, lai ātri šifrētu failus, apgrūtinot drošības pētniekiem to analīzi. Tam ir plašs iespēju klāsts, piemēram, sistēmas informācijas apkopošana, noturības radīšana, izmantojot RUN atslēgu, lietotāja konta kontroles (UAC) apiešana, Windows Defender un telemetrijas atspējošana, pretizslēgšanas pasākumu aktivizēšana, procesu un pakalpojumu pārtraukšana, iejaukšanās sistēmas atkopšana un daudz kas cits.
Lai sasniegtu savus šifrēšanas mērķus, Mimic Ransomware ļaunprātīgi izmanto Everything32.dll — likumīgu Windows failu nosaukumu meklētājprogrammu —, lai meklētu noteiktus failu paplašinājumus un failu nosaukumus, lai izgūtu to ceļus vai nu šifrēšanai, vai arī lai tos izslēgtu no šifrēšanas procesa. Pēc mērķa failu šifrēšanas draudi to nosaukumiem pievieno paplašinājumu “.QUIETPLACE”. Draudi parāda vairākus ziņojumus, kas prasa izpirkuma maksu — vienu palaišanas procesa laikā, vienu kā teksta failu ar nosaukumu “Decrypt_me.txt”, bet otru, kas tiek parādīts uznirstošajā logā ierīces ekrānā.
Pilns Mimic Ransomware prasību teksts, kas atrodams uznirstošajā logā un teksta failā, ir:
Visi jūsu faili ir šifrēti ar mūsu vīrusu.
Jūsu unikālais ID:Jūs varat iegādāties pilnīgu failu atšifrēšanu
Taču pirms maksāšanas varat pārliecināties, ka mēs patiešām varam atšifrēt jebkuru jūsu failu.
Šifrēšanas atslēga un ID ir unikāli jūsu datoram, tāpēc jūs garantējat, ka varēsit atgriezt savus failus.Lai to izdarītu:
1) Nosūtiet savu unikālo ID un ne vairāk kā 3 failus testa atšifrēšanai
MŪSU KONTAKTI
1.1) TOX kurjers (ātrs un anonīms)
hxxps://tox.chat/download.html
Instalējiet qtox
nospiediet dziedāt
izveidot savu vārdu
Nospiediet plus
Ievietojiet tur manu toksicitātes ID
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
Un pievieno mani/raksti ziņu
1.2) ICQ Messenger
ICQ tiešraides tērzēšana, kas darbojas visu diennakti - @mcdonaldsdebtzhlob
Instalējiet ICQ programmatūru savā datorā šeit hxxps://icq.com/windows/ vai savā viedtālrunī meklējiet "ICQ" Appstore/Google tirgū.
Rakstiet mūsu ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Skype
MCDONALDSDEBTZHLOB ATKLĀŠANA
4) Pasts (rakstiet tikai kritiskās situācijās bcs, jūsu e-pasts var netikt piegādāts vai iekļūt surogātpastā) mcdonaldsdebtzhlob@onionmail.orgTemata rindiņā, lūdzu, ierakstiet savu atšifrēšanas ID: -
Pēc atšifrēšanas mēs nosūtīsim jums apmaksai atšifrētos failus un unikālu bitcoin maku.
Pēc izpirkuma samaksas par Bitcoin, mēs nosūtīsim jums atšifrēšanas programmu un instrukcijas. Ja mēs varam atšifrēt jūsu failus, mums nav iemesla jūs maldināt pēc maksājuma.FAQ:
Vai es varu saņemt atlaidi?
Nē. Izpirkuma summa tiek aprēķināta, pamatojoties uz šifrēto biroja failu skaitu, un atlaides netiek nodrošinātas. Visi šādi ziņojumi tiks automātiski ignorēti. Ja tiešām vēlaties tikai dažus failus, saspiediet tos zip un augšupielādējiet tos kaut kur. Mēs tos atšifrēsim par cenu 1 fails = 1 USD.
Kas ir Bitcoin?
lasiet bitcoin.org
Kur nopirkt bitkoinus?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (ātrākais veids)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
vai izmantojiet vietni google.com, lai atrastu informāciju, kur to iegādāties
Kur ir garantija, ka es saņemšu savus failus atpakaļ?
Pats fakts, ka mēs varam atšifrēt jūsu izlases failus, ir garantija. Mums nav jēgas jūs maldināt.
Cik ātri es saņemšu atslēgu un atšifrēšanas programmu pēc maksājuma?
Parasti 15 min
Kā darbojas atšifrēšanas programma?
Tas ir vienkārši. Jums ir jāpalaiž mūsu programmatūra. Programma automātiski atšifrēs visus šifrētos failus jūsu HDD.
Sīkāka informācija par failu sistēmu
# | Faila nosaukums | MD5 |
Atklājumi
Atklāšanas gadījumi: apstiprināto un aizdomīgo gadījumu skaits par konkrētu apdraudējumu, kas atklāts inficētos datoros, kā ziņo SpyHunter.
|
---|---|---|---|
1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |