Ransomware नक्कल गर्नुहोस्

साइबरसुरक्षा अनुसन्धानकर्ताहरूले पहिलेको अज्ञात ransomware तनावको बारेमा विवरणहरू जारी गरेका छन् जसले APIs of Everything को फाइदा लिन्छ, Voidtools द्वारा विकसित विन्डोज फाइलनाम खोज इन्जिन। यो ransomware, Mimic को रूपमा ट्र्याक गरिएको, जुन 2022 मा पहिलो पटक जंगली मा देखा परेको थियो र रूसी र अंग्रेजी बोल्ने प्रयोगकर्ताहरूलाई लक्षित गरेको देखिन्छ।

Mimic Ransomware धेरै क्षमताहरूसँग सुसज्जित छ, जस्तै छाया भोल्युम प्रतिलिपिहरू मेटाउने, धेरै अनुप्रयोगहरू र सेवाहरू समाप्त गर्ने, र एन्क्रिप्शनका लागि लक्षित फाइलहरू क्वेरी गर्न Everything32.dll प्रकार्यहरूको दुरुपयोग गर्ने। मार्च 2022 मा फिर्ता लीक भएको Conti Ransomware बिल्डरबाट कम्तिमा आंशिक रूपमा यो खतरा विकसित भएको मानिन्छ। खतराको बारेमा जानकारी इन्फोसेक विज्ञहरूले जारी गरेको रिपोर्टमा जारी गरिएको थियो।

Ransomware को संक्रमण चेन नक्कल

उल्लङ्घन गरिएका यन्त्रहरूमा एउटा कार्यान्वयनयोग्य फाइलको रूपमा Mimic खतरा तैनाथ गरिएको छ, जसले गर्दा, पासवर्ड-सुरक्षित अभिलेख सहित, Everything64.dll को रूपमा भेषमा धेरै बाइनरीहरू छोड्छ। यो अभिलेखमा ransomware पेलोड समावेश छ। यसले विन्डोज डिफेन्डर र वैध sdel बाइनरीहरू असक्षम गर्ने उपकरणहरू पनि समावेश गर्दछ।

जब Mimic Ransomware कार्यान्वयन हुन्छ, यसले यसको कम्पोनेन्टहरू %Temp%/7zipSfx फोल्डरमा खसाल्नेछ र पासवर्ड-सुरक्षित Everything64.dll लाई 7za.exe प्रयोग गरी एउटै डाइरेक्टरीमा निकाल्नेछ: %Temp%\7ZipSfx.000\7za। .exe" x -y -p20475326413135730160 Everything64.dll। थप रूपमा, यसले सत्र कुञ्जी फाइललाई सत्र.tmp भनिने एउटै डाइरेक्टरीमा छोड्नेछ, जुन प्रक्रियामा अवरोध भएमा इन्क्रिप्सन जारी राख्न प्रयोग गरिनेछ।

पछि, Mimic Ransomware ले सबै ड्रप गरिएका फाइलहरूलाई '%LocalAppData%{Random GUID}\' मा 'bestplacetolive.exe' मा पुन: नामाकरण गर्नु अघि र %Temp% बाट मूल फाइलहरू मेटाउनु अघि प्रतिलिपि गर्नेछ।

Mimic Ransomware को खतरा क्षमताहरु

Mimic Ransomware ले फाइलहरू द्रुत रूपमा इन्क्रिप्ट गर्न धेरै थ्रेडहरू र CreateThread प्रकार्य प्रयोग गर्दछ, जसले सुरक्षा अनुसन्धानकर्ताहरूलाई विश्लेषण गर्न गाह्रो बनाउँछ। योसँग प्रणाली जानकारी सङ्कलन, RUN कुञ्जी मार्फत दृढता सिर्जना गर्ने, प्रयोगकर्ता खाता नियन्त्रण (UAC) लाई बाइपास गर्ने, विन्डोज डिफेन्डर र टेलिमेट्री असक्षम गर्ने, एन्टि-शटडाउन उपायहरू सक्रिय गर्ने, प्रक्रियाहरू र सेवाहरू समाप्त गर्ने, हस्तक्षेप गर्ने जस्ता क्षमताहरूको विस्तृत दायरा छ। प्रणाली रिकभरी र थप।

यसको इन्क्रिप्शन लक्ष्यहरू प्राप्त गर्न, Mimic Ransomware ले Everything32.dll को दुरुपयोग गर्दछ - एक वैध विन्डोज फाइलनाम खोज इन्जिन - निश्चित फाइल एक्सटेन्सनहरू र फाइलनामहरूलाई तिनीहरूको मार्गहरू पुन: प्राप्त गर्नको लागि क्वेरी गर्न, कि त इन्क्रिप्शनको लागि वा तिनीहरूलाई इन्क्रिप्शन प्रक्रियाबाट बाहिर निकाल्न। लक्षित फाइलहरू इन्क्रिप्ट गरेपछि, धम्कीले तिनीहरूको नाममा '.QUIETPLACE' विस्तार जोड्छ। धम्कीले धेरै फिरौती-माग गर्ने सन्देशहरू प्रदर्शन गर्दछ - एउटा स्टार्ट-अप प्रक्रियाको क्रममा, एउटा 'Decrypt_me.txt' नामको पाठ फाइलको रूपमा, र अर्को जुन उपकरणको स्क्रिनमा पप-अप विन्डोमा देखाइन्छ।

पप-अप विन्डो र टेक्स्ट फाइलमा फेला परेको Mimic Ransomware को मागहरूको पूर्ण पाठ हो:

'तपाईंका सबै फाइलहरू हाम्रो भाइरसद्वारा इन्क्रिप्ट गरिएका छन्।
तपाईंको अद्वितीय आईडी:

तपाईं आफ्नो फाइलहरूको पूर्ण डिक्रिप्शन किन्न सक्नुहुन्छ
तर तपाईंले भुक्तान गर्नु अघि, तपाईंले निश्चित गर्न सक्नुहुन्छ कि हामी तपाईंको कुनै पनि फाइलहरू डिक्रिप्ट गर्न सक्छौं।
एन्क्रिप्शन कुञ्जी र ID तपाईंको कम्प्युटरको लागि अद्वितीय छन्, त्यसैले तपाईं आफ्ना फाइलहरू फिर्ता गर्न सक्षम हुन ग्यारेन्टी हुनुहुन्छ।

यो गर्न:
1) तपाईंको अद्वितीय आईडी पठाउनुहोस् - र परीक्षण डिक्रिप्शनको लागि अधिकतम 3 फाइलहरू
हाम्रा सम्पर्कहरू
1.1) TOX मेसेन्जर (छिटो र अज्ञात)
hxxps://tox.chat/download.html
qtox स्थापना गर्नुहोस्
गाउन थिच्नुहोस्
आफ्नो नाम सिर्जना गर्नुहोस्
प्लस थिच्नुहोस्
त्यहाँ मेरो tox ID राख्नुहोस्
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
र मलाई थप्नुहोस् / सन्देश लेख्नुहोस्
1.2) ICQ मेसेन्जर
ICQ लाइभ च्याट जसले २४/७ काम गर्छ - @mcdonaldsdebtzhlob
यहाँ आफ्नो पीसीमा ICQ सफ्टवेयर स्थापना गर्नुहोस् hxxps://icq.com/windows/ वा आफ्नो स्मार्टफोनमा एपस्टोर / गुगल बजारमा "ICQ" खोज्नुहोस्।
हाम्रो ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob मा लेख्नुहोस्
1.3) स्काइप
MCDONALDSDEBTZHLOB डिक्रिप्शन
4) मेल (केवल महत्वपूर्ण परिस्थितिहरूमा लेख्नुहोस् bcs तपाईंको इमेल डेलिभर हुन वा स्प्याममा नपर्न सक्छ) mcdonaldsdebtzhlob@onionmail.org

विषय रेखामा कृपया आफ्नो डिक्रिप्शन ID लेख्नुहोस्: -

डिक्रिप्शन पछि, हामी तपाईंलाई डिक्रिप्टेड फाइलहरू र भुक्तानीको लागि एक अद्वितीय बिटकोइन वालेट पठाउनेछौं।
Bitcoin को लागि भुक्तानी फिरौती पछि, हामी तपाईंलाई एक डिक्रिप्शन कार्यक्रम र निर्देशनहरू पठाउनेछौं। यदि हामीले तपाईंको फाइलहरू डिक्रिप्ट गर्न सक्छौं भने, हामीसँग भुक्तानी पछि तपाईंलाई धोका दिने कुनै कारण छैन।

FAQ:
के म छुट पाउन सक्छु?
होइन। फिरौती रकम इन्क्रिप्टेड अफिस फाइलहरूको संख्याको आधारमा गणना गरिन्छ र छुटहरू प्रदान गरिएको छैन। त्यस्ता सबै सन्देशहरू स्वचालित रूपमा बेवास्ता गरिनेछ। यदि तपाइँ साँच्चै केहि फाइलहरू चाहनुहुन्छ भने, तिनीहरूलाई जिप गर्नुहोस् र तिनीहरूलाई कतै अपलोड गर्नुहोस्। हामी तिनीहरूलाई 1 फाइल = 1$ को मूल्यको लागि डिकोड गर्नेछौं।
Bitcoin भनेको के हो?
bitcoin.org पढ्नुहोस्
Bitcoins कहाँ किन्न?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (छिटो बाटो)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
वा google.com प्रयोग गर्नुहोस् जहाँ यसलाई किन्ने जानकारी पाउन
मैले मेरा फाइलहरू फिर्ता पाउनेछु भन्ने ग्यारेन्टी कहाँ छ?
हामी तपाईंको अनियमित फाइलहरू डिक्रिप्ट गर्न सक्छौं भन्ने तथ्य एक ग्यारेन्टी हो। हामीले तपाईंलाई धोका दिनुको कुनै अर्थ छैन।
मैले भुक्तान पछि कुञ्जी र डिक्रिप्शन कार्यक्रम कति चाँडो प्राप्त गर्नेछु?
एक नियम को रूप मा, 15 मिनेट को समयमा
डिक्रिप्शन कार्यक्रम कसरी काम गर्छ?
यो सरल छ। तपाईंले हाम्रो सफ्टवेयर चलाउन आवश्यक छ। कार्यक्रमले स्वचालित रूपमा तपाइँको HDD मा सबै ईन्क्रिप्टेड फाइलहरू डिक्रिप्ट गर्नेछ।'