Mimic Ransomware
Trusselscorekort
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards er vurderingsrapporter for ulike malware-trusler som er samlet inn og analysert av vårt forskningsteam. EnigmaSoft Threat Scorecards evaluerer og rangerer trusler ved hjelp av flere beregninger, inkludert reelle og potensielle risikofaktorer, trender, frekvens, utbredelse og utholdenhet. EnigmaSoft Threat Scorecards oppdateres regelmessig basert på våre forskningsdata og beregninger og er nyttige for et bredt spekter av databrukere, fra sluttbrukere som søker løsninger for å fjerne skadelig programvare fra systemene deres til sikkerhetseksperter som analyserer trusler.
EnigmaSoft Threat Scorecards viser en rekke nyttig informasjon, inkludert:
Rangering: Rangeringen av en bestemt trussel i EnigmaSofts trusseldatabase.
Alvorlighetsnivå: Det fastslåtte alvorlighetsnivået til et objekt, representert numerisk, basert på vår risikomodelleringsprosess og forskning, som forklart i våre trusselvurderingskriterier .
Infiserte datamaskiner: Antall bekreftede og mistenkte tilfeller av en bestemt trussel oppdaget på infiserte datamaskiner som rapportert av SpyHunter.
Se også Kriterier for trusselvurdering .
| Trusselnivå: | 100 % (Høy) |
| Infiserte datamaskiner: | 2 |
| Først sett: | February 8, 2023 |
| Sist sett: | March 1, 2023 |
| OS(er) berørt: | Windows |
Cybersikkerhetsforskere har gitt ut detaljer om en tidligere ukjent løsepengevarestamme som utnytter APIene til Everything, en Windows-filnavnsøkemotor utviklet av Voidtools. Denne løsepengevaren, sporet som Mimic, ble først oppdaget i naturen i juni 2022 og ser ut til å være rettet mot både russisk- og engelsktalende brukere.
Mimic Ransomware er utstyrt med flere funksjoner, som å slette Shadow Volume Copies, avslutte flere applikasjoner og tjenester og misbruke Everything32.dll-funksjoner for å søke etter kryptering av målfiler. Trusselen antas å ha blitt i det minste delvis utviklet fra Conti Ransomware -byggeren som ble lekket tilbake i mars 2022. Informasjon om trusselen ble utgitt i en rapport utgitt av infosec-eksperter.
Innholdsfortegnelse
Mimic Ransomwares infeksjonskjede
Mimic-trusselen er distribuert på de brutte enhetene som en kjørbar fil som i sin tur slipper flere binærfiler, inkludert et passordbeskyttet arkiv forkledd som Everything64.dll. Dette arkivet inneholder løsepengelasten. Den inkluderer også verktøy for å deaktivere Windows Defender og legitime sdel-binærfiler.
Når Mimic Ransomware kjøres, vil den slippe komponentene til mappen %Temp%/7zipSfx og pakke ut den passordbeskyttede Everything64.dll til samme katalog ved å bruke 7za.exe med kommandoen: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. I tillegg vil den slippe en øktnøkkelfil kalt session.tmp til samme katalog, som vil bli brukt til å fortsette kryptering i tilfelle avbrudd i prosessen.
Etterpå vil Mimic Ransomware kopiere alle slettede filer til '%LocalAppData%{Random GUID}\' før den endrer navn til 'bestplacetolive.exe' og sletter de originale filene fra %Temp%.
De truende egenskapene til Mimic Ransomware
Mimic Ransomware bruker flere tråder og CreateThread-funksjonen for å kryptere filer raskt, noe som gjør det vanskelig for sikkerhetsforskere å analysere. Den har et bredt spekter av funksjoner, som å samle inn systeminformasjon, skape utholdenhet via RUN-nøkkelen, omgå brukerkontokontroll (UAC), deaktivere Windows Defender og telemetri, aktivere anti-avslutningstiltak, avslutte prosesser og tjenester, forstyrre systemgjenoppretting og mer.
For å oppnå sine krypteringsmål, misbruker Mimic Ransomware Everything32.dll - en legitim Windows-filnavnsøkemotor - for å spørre etter bestemte filutvidelser og filnavn for å hente banene deres, enten for kryptering eller for å ekskludere dem fra krypteringsprosessen. Etter å ha kryptert målfilene, legger trusselen til utvidelsen '.QUIETPLACE' til navnene deres. Trusselen viser flere løsepenger-krevende meldinger - en under oppstartsprosessen, en som en tekstfil kalt 'Decrypt_me.txt', og en annen som vises i et popup-vindu på enhetens skjerm.
Den fullstendige teksten til Mimic Ransomwares krav i popup-vinduet og tekstfilen er:
'Alle filene dine er kryptert med vårt virus.
Din unike ID:Du kan kjøpe fullstendig dekryptering av filene dine
Men før du betaler, kan du forsikre deg om at vi virkelig kan dekryptere noen av filene dine.
Krypteringsnøkkelen og IDen er unike for datamaskinen din, så du er garantert å kunne returnere filene dine.Å gjøre dette:
1) Send din unike id - og maks 3 filer for testdekryptering
VÅRE KONTAKTER
1.1) TOX messenger (rask og anonym)
hxxps://tox.chat/download.html
Installer qtox
trykk synge opp
lag ditt eget navn
Trykk på pluss
Legg der min tox-ID
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
Og legg meg til/skriv melding
1.2) ICQ Messenger
ICQ live chat som fungerer 24/7 - @mcdonaldsdebtzhlob
Installer ICQ-programvare på PC-en din her hxxps://icq.com/windows/ eller på smarttelefonen din, søk etter "ICQ" i Appstore / Google Market
Skriv til vår ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Skype
MCDONALDSDEBTZHLOB-BESKRIVELSE
4) E-post (skriv kun i kritiske situasjoner før e-posten din kanskje ikke blir levert eller havnet i spam) mcdonaldsdebtzhlob@onionmail.orgSkriv din dekrypterings-ID i emnefeltet: -
Etter dekryptering vil vi sende deg de dekrypterte filene og en unik bitcoin-lommebok for betaling.
Etter betaling av løsepenger for Bitcoin, vil vi sende deg et dekrypteringsprogram og instruksjoner. Hvis vi kan dekryptere filene dine, har vi ingen grunn til å lure deg etter betaling.FAQ:
Kan jeg få rabatt?
Nei. Løsepengene beregnes basert på antall krypterte kontorfiler, og rabatter gis ikke. Alle slike meldinger vil automatisk bli ignorert. Hvis du virkelig bare vil ha noen av filene, kan du zippe dem og laste dem opp et sted. Vi vil dekode dem for prisen av 1 fil = 1$.
Hva er Bitcoin?
les bitcoin.org
Hvor kan man kjøpe bitcoins?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (raskeste måten)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
eller bruk google.com for å finne informasjon om hvor du kan kjøpe den
Hvor er garantien for at jeg får filene mine tilbake?
Selve det faktum at vi kan dekryptere dine tilfeldige filer er en garanti. Det gir ingen mening for oss å lure deg.
Hvor raskt vil jeg motta nøkkelen og dekrypteringsprogrammet etter betaling?
Som regel i løpet av 15 min
Hvordan fungerer dekrypteringsprogrammet?
Det er enkelt. Du må kjøre programvaren vår. Programmet vil automatisk dekryptere alle krypterte filer på harddisken.'
Detaljer om filsystem
| # | Filnavn | MD5 |
Deteksjoner
Deteksjoner: Antall bekreftede og mistenkte tilfeller av en bestemt trussel oppdaget på infiserte datamaskiner som rapportert av SpyHunter.
|
|---|---|---|---|
| 1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |
