Mimik Ransomware
Kad Skor Ancaman
Kad Skor Ancaman EnigmaSoft
Kad Skor Ancaman EnigmaSoft ialah laporan penilaian untuk ancaman perisian hasad yang berbeza yang telah dikumpulkan dan dianalisis oleh pasukan penyelidik kami. Kad Skor Ancaman EnigmaSoft menilai dan menilai ancaman menggunakan beberapa metrik termasuk faktor risiko dunia sebenar dan potensi, arah aliran, kekerapan, kelaziman dan kegigihan. Kad Skor Ancaman EnigmaSoft dikemas kini secara berkala berdasarkan data dan metrik penyelidikan kami dan berguna untuk pelbagai pengguna komputer, daripada pengguna akhir yang mencari penyelesaian untuk mengalih keluar perisian hasad daripada sistem mereka kepada pakar keselamatan yang menganalisis ancaman.
Kad Skor Ancaman EnigmaSoft memaparkan pelbagai maklumat berguna, termasuk:
Kedudukan: Kedudukan ancaman tertentu dalam Pangkalan Data Ancaman EnigmaSoft.
Tahap Keterukan: Tahap keterukan objek yang ditentukan, diwakili secara berangka, berdasarkan proses dan penyelidikan pemodelan risiko kami, seperti yang dijelaskan dalam Kriteria Penilaian Ancaman kami.
Komputer yang Dijangkiti: Bilangan kes yang disahkan dan disyaki bagi ancaman tertentu yang dikesan pada komputer yang dijangkiti seperti yang dilaporkan oleh SpyHunter.
Lihat juga Kriteria Penilaian Ancaman .
Tahap Ancaman: | 100 % (tinggi) |
Komputer yang Dijangkiti: | 2 |
Pertama Dilihat: | February 8, 2023 |
Kali terakhir dilihat: | March 1, 2023 |
OS (es) Terjejas: | Windows |
Penyelidik Cybersecurity telah mengeluarkan butiran tentang strain ransomware yang tidak diketahui sebelum ini yang mengambil kesempatan daripada API of Everything, enjin carian nama fail Windows yang dibangunkan oleh Voidtools. Perisian tebusan ini, yang dijejaki sebagai Mimic, pertama kali dikesan di alam liar pada Jun 2022 dan nampaknya menyasarkan pengguna berbahasa Rusia dan Inggeris.
Mimic Ransomware dilengkapi dengan pelbagai keupayaan, seperti memadamkan Salinan Volume Bayangan, menamatkan berbilang aplikasi dan perkhidmatan, dan menyalahgunakan fungsi Everything32.dll untuk menanyakan fail sasaran untuk penyulitan. Ancaman itu dipercayai telah dibangunkan sekurang-kurangnya sebahagian daripada pembangun Conti Ransomware yang dibocorkan pada Mac 2022. Maklumat tentang ancaman itu dikeluarkan dalam laporan yang dikeluarkan oleh pakar infosec.
Isi kandungan
Mimik Ransomware Ransomware
Ancaman Mimic digunakan pada peranti yang dilanggar sebagai fail boleh laku yang, seterusnya, menjatuhkan berbilang binari, termasuk arkib yang dilindungi kata laluan yang menyamar sebagai Everything64.dll. Arkib ini mengandungi muatan perisian tebusan. Ia juga termasuk alat untuk melumpuhkan Windows Defender dan binari sdel yang sah.
Apabila Mimic Ransomware dilaksanakan, ia akan menjatuhkan komponennya ke folder %Temp%/7zipSfx dan mengekstrak Everything64.dll yang dilindungi kata laluan ke direktori yang sama menggunakan 7za.exe dengan arahan: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. Selain itu, ia akan menjatuhkan fail kunci sesi yang dipanggil session.tmp ke direktori yang sama, yang akan digunakan untuk meneruskan penyulitan sekiranya berlaku gangguan dalam proses.
Selepas itu, Mimic Ransomware akan menyalin semua fail yang digugurkan ke '%LocalAppData%{Random GUID}\' sebelum menamakan semula dirinya kepada 'bestplacetolive.exe' dan memadamkan fail asal daripada %Temp%.
Keupayaan Mengancam Mimic Ransomware
Mimic Ransomware menggunakan berbilang benang dan fungsi CreateThread untuk menyulitkan fail dengan cepat, menyukarkan penyelidik keselamatan untuk menganalisis. Ia mempunyai pelbagai keupayaan, seperti mengumpul maklumat sistem, mencipta kegigihan melalui kekunci RUN, memintas Kawalan Akaun Pengguna (UAC), melumpuhkan Windows Defender dan telemetri, mengaktifkan langkah anti-penutupan, menamatkan proses dan perkhidmatan, mengganggu Pemulihan Sistem dan banyak lagi.
Untuk mencapai matlamat penyulitannya, Mimic Ransomware menyalahgunakan Everything32.dll - enjin carian nama fail Windows yang sah - untuk menanyakan sambungan fail dan nama fail tertentu untuk mendapatkan semula laluan mereka, sama ada untuk penyulitan atau mengecualikannya daripada proses penyulitan. Selepas menyulitkan fail sasaran, ancaman itu menambahkan sambungan '.QUIETPLACE' pada nama mereka. Ancaman memaparkan berbilang mesej menuntut wang tebusan - satu semasa proses permulaan, satu sebagai fail teks bernama 'Decrypt_me.txt' dan satu lagi yang ditunjukkan dalam tetingkap timbul pada skrin peranti.
Teks penuh permintaan Mimic Ransomware yang terdapat dalam tetingkap timbul dan fail teks ialah:
'Semua fail anda telah disulitkan dengan virus Kami.
ID unik anda:Anda boleh membeli penyahsulitan sepenuhnya fail anda
Tetapi sebelum anda membayar, anda boleh memastikan bahawa kami benar-benar boleh menyahsulit mana-mana fail anda.
Kunci penyulitan dan ID adalah unik untuk komputer anda, jadi anda dijamin dapat memulangkan fail anda.Untuk membuat ini:
1) Hantar id unik anda - dan maksimum 3 fail untuk penyahsulitan ujian
HUBUNGI KAMI
1.1)Pengutus TOX (cepat dan tanpa nama)
hxxps://tox.chat/download.html
Pasang qtox
tekan sing up
cipta nama anda sendiri
Tekan tambah
Letakkan di sana ID tox saya
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
Dan tambah saya/tulis mesej
1.2) ICQ Messenger
Sembang langsung ICQ yang berfungsi 24/7 - @mcdonaldsdebtzhlob
Pasang perisian ICQ pada PC anda di sini hxxps://icq.com/windows/ atau pada carian telefon pintar anda untuk "ICQ" dalam Appstore / pasaran Google
Tulis ke ICQ kami @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3)Skype
MCDONALDSDEBTZHLOB DECRYPTION
4) Mel (tulis hanya dalam situasi kritikal kerana e-mel anda mungkin tidak dihantar atau masuk dalam spam) mcdonaldsdebtzhlob@onionmail.orgDalam baris subjek sila tulis ID penyahsulitan anda: -
Selepas penyahsulitan, kami akan menghantar kepada anda fail yang dinyahsulit dan dompet bitcoin unik untuk pembayaran.
Selepas pembayaran tebusan untuk Bitcoin, kami akan menghantar program dan arahan penyahsulitan kepada anda. Jika kami boleh menyahsulit fail anda, kami tidak mempunyai sebab untuk menipu anda selepas pembayaran.Soalan Lazim:
Bolehkah saya mendapatkan diskaun?
Tidak. Jumlah tebusan dikira berdasarkan bilangan fail pejabat yang disulitkan dan diskaun tidak diberikan. Semua mesej sedemikian akan diabaikan secara automatik. Jika anda benar-benar mahukan beberapa fail sahaja, zipkannya dan muat naiknya ke suatu tempat. Kami akan menyahkodnya untuk harga 1 fail = 1$.
Apakah Bitcoin?
baca bitcoin.org
Di mana untuk membeli bitcoin?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (cara terpantas)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
atau gunakan google.com untuk mencari maklumat tempat untuk membelinya
Di manakah jaminan bahawa saya akan menerima semula fail saya?
Hakikat bahawa kami boleh menyahsulit fail rawak anda adalah jaminan. Tidak masuk akal untuk kami menipu anda.
Berapa cepat saya akan menerima program kunci dan penyahsulitan selepas pembayaran?
Sebagai peraturan, selama 15 minit
Bagaimanakah program penyahsulitan berfungsi?
Mudah sahaja. Anda perlu menjalankan perisian kami. Program ini secara automatik akan menyahsulit semua fail yang disulitkan pada HDD anda.'
Butiran Sistem Fail
# | Nama fail | MD5 |
Pengesanan
Pengesanan: Bilangan kes yang disahkan dan disyaki bagi ancaman tertentu yang dikesan pada komputer yang dijangkiti seperti yang dilaporkan oleh SpyHunter.
|
---|---|---|---|
1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |