MIRROR Ransomware

Etter å ha analysert potensielle skadevaretrusler grundig, har forskere endelig identifisert MIRROR som en løsepengevarevariant. Hovedmålet med MIRROR-trusselen er å kryptere filer som finnes på kompromitterte enheter. I tillegg foretar den filomdøping og utsteder to løsepenger – en i form av et popup-vindu og den andre som en tekstfil kalt 'info-MIRROR.txt.'

MIRROR Ransomware bruker en spesifikk navnekonvensjon for filer den krypterer, ved å legge til offerets ID, 'tpyrcedrorrim@tuta.io' e-postadresse og '.Mr' utvidelse. For eksempel transformerer den '1.pdf' til '1.pdf.id-9ECFA74E.[tpyrcedrorrim@tuta.io].Mr,' og '2.png' blir '2.png.id-9ECFA74E.[tpyrcedrorrim@ tuta.io].Mr,' og så videre. Denne spesielle trusselen har blitt kategorisert som en variant innenfor Dharma Ransomware- familien.

MIRROR Ransomware går utover filkryptering

I tillegg til å kryptere filer, bruker MIRROR strategiske tiltak for å kompromittere det målrettede systemets sikkerhet ytterligere. En slik taktikk innebærer å deaktivere brannmuren, og dermed øke systemets sårbarhet for de ondsinnede aktivitetene orkestrert av løsepengevaren. I tillegg tar MIRROR bevisste handlinger for å slette Shadow Volume Copies, effektivt eliminere potensielle gjenopprettingspunkter og hindre gjenopprettingsarbeid.

MIRROR utnytter sårbarheter i Remote Desktop Protocol (RDP)-tjenester som en primær vektor for infeksjon. Dette involverer vanligvis å utnytte svak kontolegitimasjon gjennom metoder som brute force og ordbokangrep. Ved å utnytte disse teknikkene får løsepengevaren uautorisert tilgang til systemer, spesielt de med utilstrekkelig administrert kontosikkerhet.

Videre viser MIRROR muligheten til å trekke ut lokasjonsdata, slik at den kan skjelne den geografiske konteksten til de infiserte systemene. Spesielt har den muligheten til å ekskludere forhåndsbestemte steder fra datautvinningsomfanget. I tillegg inkorporerer MIRROR utholdenhetsmekanismer, som sikrer at det kan opprettholde fotfeste i det kompromitterte systemet over en lengre periode.

Ofre for MIRROR Ransomware blir presset for penger

Løsepengene til MIRROR Ransomware fungerer som en kommunikasjon fra angriperne til offeret, og sier eksplisitt at alle offerets filer har gjennomgått kryptering. Den skisserer en potensiell vei for filgjenoppretting, instruerer offeret om å starte kontakt via en spesifisert e-postadresse (tpyrcedrorrim@tuta.io) og gir en unik identifikator.

Som et alternativt kommunikasjonsmiddel oppgir notatet også en annen e-postadresse (mirrorrorrim@cock.li). Merk at notatet sterkt fraråder bruk av mellomledd for kommunikasjon, og nevner potensielle risikoer som overbelastning, uberettiget debitering og transaksjonsavvisning. Angriperne hevder sin evne til å tilby tjenester for kryptert datagjenoppretting og tilbyr garantier, inkludert en gjenopprettingsdemonstrasjon som involverer opptil tre filer for å underbygge deres ferdigheter.

Dessuten gir løsepengenotatet et advarende råd til offeret, og fraråder eksplisitt å gi nytt navn til krypterte filer. Den advarer også mot forsøk på dekryptering gjennom tredjepartsprogramvare, og understreker de potensielle konsekvensene av permanent tap av data eller mottakelighet for svindel. Hensikten er å veilede offeret om den sikreste handlingen for å maksimere sjansene for vellykket filgjenoppretting samtidig som potensielle risikoer minimeres.

Ta tiltak for å styrke enhetene dine mot infeksjoner med løsepengeprogramvare

Ransomware utgjør en betydelig trussel mot sikkerheten til digitale enheter, med potensielle konsekvenser som spenner fra tap av data til økonomisk utpressing. Implementering av proaktive tiltak er avgjørende for å styrke utstyr mot slike infeksjoner. Her er fem effektive trinn brukere kan ta:

• Oppdater operativsystemer og programvare regelmessig : Det er viktig å holde operativsystemer og programvare oppdatert, siden oppdateringer ofte inkluderer sikkerhetsoppdateringer som adresserer sårbarheter. Se regelmessig etter og bruk oppdateringer for å redusere risikoen for at løsepengevare utnytter kjente svakheter.
• Installer og vedlikehold sikkerhetsprogramvare : Å bruke pålitelig sikkerhetsprogramvare gir et ekstra lag med forsvar mot løsepengeprogramvare. Sørg for at anti-malware-programmet oppdateres regelmessig, og utfør planlagte skanninger for å oppdage og eliminere potensielle trusler før de kan kompromittere enheten din.
• Vær forsiktig med e-postvedlegg og koblinger : Ransomware infiltrerer ofte systemer gjennom phishing-e-poster som inneholder ondsinnede vedlegg eller lenker. Vær mye forsiktig når du åpner e-poster fra ukjente avsendere, prøv å ikke klikke på mistenkelige lenker, og avstå fra å laste ned vedlegg med mindre legitimiteten deres er bekreftet.
• Sikkerhetskopier data regelmessig : Å lage regelmessige sikkerhetskopier av viktige data er et kritisk forebyggende tiltak. I et løsepenge-angrep lar nyere sikkerhetskopier brukere gjenopprette filene sine uten å gi etter for utpressing. Lagre sikkerhetskopier på en ekstern enhet eller en sikker skytjeneste.
• Implementer nettverkssikkerhetstiltak : Styrking av nettverkssikkerheten kan hindre løsepengevareangrep. Bruk brannmurer og inntrengningsdeteksjons-/forebyggende systemer, bruk unike og sterke passord for alle enheter og kontoer, og vurder å segmentere nettverk for å begrense den potensielle innvirkningen av en infeksjon på hele systemet.

Ved å ta i bruk disse tiltakene kan brukere betydelig forbedre motstandskraften til enhetene deres mot løsepengeprogramvare, beskytte deres verdifulle data og opprettholde integriteten til deres digitale miljø.

Den fullstendige teksten til hovedløsningsnotatet etterlatt av MIRROR Ransomware er:

'MIRROR
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: tpyrcedrorrim@tuta.io YOUR ID 9ECFA84E
If you have not answered by mail within 12 hours, write to us by another mail:mirrorrorrim@cock.li
We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.
-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.
Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Tekstfilen som slippes av MIRROR Ransomware inneholder følgende melding:

'alle dataene dine er låst oss

Vil du tilbake?

skriv e-post tpyrcedrorrim@tuta.io eller mirrorrorrim@cock.li'