Bootst ransomware na

Onderzoekers op het gebied van cyberbeveiliging hebben details vrijgegeven over een voorheen onbekende ransomware-stam die profiteert van de API's van Everything, een Windows-zoekmachine voor bestandsnamen ontwikkeld door Voidtools. Deze ransomware, gevolgd als Mimic, werd voor het eerst in het wild gezien in juni 2022 en lijkt zich te richten op zowel Russisch- als Engelssprekende gebruikers.

De Mimic Ransomware is uitgerust met meerdere mogelijkheden, zoals het verwijderen van de Shadow Volume Copies, het beëindigen van meerdere applicaties en services, en het misbruiken van Everything32.dll-functies om doelbestanden op te vragen voor codering. Aangenomen wordt dat de dreiging op zijn minst gedeeltelijk is ontwikkeld vanuit de Conti Ransomware- builder die in maart 2022 is gelekt. Informatie over de dreiging is vrijgegeven in een rapport dat is uitgebracht door infosec-experts.

De infectieketen van Ransomware nabootsen

De Mimic-dreiging wordt op de geschonden apparaten ingezet als een uitvoerbaar bestand dat op zijn beurt meerdere binaire bestanden laat vallen, waaronder een met een wachtwoord beveiligd archief vermomd als Everything64.dll. Dit archief bevat de payload van de ransomware. Het bevat ook tools voor het uitschakelen van Windows Defender en legitieme binaire bestanden van sdel.

Wanneer de Mimic Ransomware wordt uitgevoerd, zet het zijn componenten neer in de map %Temp%/7zipSfx en pakt het met een wachtwoord beveiligde Everything64.dll uit in dezelfde map met behulp van 7za.exe met de opdracht: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. Bovendien zal het een sessiesleutelbestand met de naam session.tmp in dezelfde map neerzetten, dat zal worden gebruikt voor het voortzetten van de codering in geval van een onderbreking in het proces.

Daarna kopieert Mimic Ransomware alle gedropte bestanden naar '%LocalAppData%{Random GUID}\' voordat het zichzelf hernoemt naar 'bestplacetolive.exe' en de originele bestanden verwijdert uit %Temp%.

De bedreigende mogelijkheden van de Mimic Ransomware

De Mimic Ransomware maakt gebruik van meerdere threads en de CreateThread-functie om bestanden snel te versleutelen, waardoor het moeilijk wordt voor beveiligingsonderzoekers om ze te analyseren. Het heeft een breed scala aan mogelijkheden, zoals het verzamelen van systeeminformatie, het creëren van persistentie via de RUN-sleutel, het omzeilen van Gebruikersaccountbeheer (UAC), het uitschakelen van Windows Defender en telemetrie, het activeren van anti-afsluitmaatregelen, het beëindigen van processen en services, het verstoren van het systeemherstel en meer.

Om zijn coderingsdoelen te bereiken, misbruikt Mimic Ransomware Everything32.dll - een legitieme Windows-zoekmachine voor bestandsnamen - om bepaalde bestandsextensies en bestandsnamen te doorzoeken om hun paden op te halen, hetzij voor codering of om ze uit te sluiten van het coderingsproces. Na het versleutelen van de doelbestanden voegt de dreiging de extensie '.QUIETPLACE' toe aan hun namen. De dreiging geeft meerdere berichten weer waarin om losgeld wordt gevraagd: één tijdens het opstartproces, één als een tekstbestand met de naam 'Decrypt_me.txt' en een andere die wordt weergegeven in een pop-upvenster op het scherm van het apparaat.

De volledige tekst van de eisen van Mimic Ransomware in het pop-upvenster en het tekstbestand is:

'Al uw bestanden zijn versleuteld met ons virus.
Uw unieke ID:

U kunt volledige decodering van uw bestanden kopen
Maar voordat u betaalt, kunt u ervoor zorgen dat we al uw bestanden echt kunnen decoderen.
De coderingssleutel en ID zijn uniek voor uw computer, dus u kunt gegarandeerd uw bestanden retourneren.

Om dit te doen:
1) Stuur uw unieke id - en maximaal 3 bestanden voor testontsleuteling
ONZE CONTACTEN
1.1) TOX-messenger (snel en anoniem)
hxxps://tox.chat/download.html
Qtox installeren
druk op zingen
creëer je eigen naam
Druk op plus
Zet daar mijn tox-ID
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
En voeg me toe / schrijf een bericht
1.2) ICQ-boodschapper
ICQ livechat die 24/7 werkt - @mcdonaldsdebtzhlob
Installeer ICQ-software hier op uw pc hxxps://icq.com/windows/ of zoek op uw smartphone naar "ICQ" in Appstore / Google Market
Schrijf naar onze ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Skypen
MCDONALDSDEBTZHLOB DECRYPTIE
4) E-mail (schrijf alleen in kritieke situaties omdat uw e-mail mogelijk niet wordt afgeleverd of in spam terechtkomt) mcdonaldsdebtzhlob@onionmail.org

Schrijf in de onderwerpregel uw decryptie-ID: -

Na decodering sturen we u de gedecodeerde bestanden en een unieke bitcoin-portemonnee voor betaling.
Na betaling van het losgeld voor Bitcoin, sturen we u een decoderingsprogramma en instructies. Als we uw bestanden kunnen ontsleutelen, hebben we geen reden om u na betaling te misleiden.

FAQ:
Kan ik korting krijgen?
Nee. Het losgeldbedrag wordt berekend op basis van het aantal versleutelde kantoorbestanden en er worden geen kortingen verstrekt. Al dergelijke berichten worden automatisch genegeerd. Als je echt maar een paar bestanden wilt, zip ze dan en upload ze ergens. We zullen ze decoderen voor de prijs van 1 bestand = 1$.
Wat is Bitcoin?
lees bitcoin.org
Waar bitcoins kopen?
hxxps://www.alfa.cash/buy-crypto-with-creditcard (snelste manier)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
of gebruik google.com om informatie te vinden waar u het kunt kopen
Waar is de garantie dat ik mijn bestanden terug krijg?
Alleen al het feit dat we uw willekeurige bestanden kunnen decoderen, is een garantie. Het heeft geen zin voor ons om u te misleiden.
Hoe snel ontvang ik de sleutel en het decoderingsprogramma na betaling?
In de regel gedurende 15 min
Hoe werkt het decoderingsprogramma?
Het is makkelijk. U moet onze software uitvoeren. Het programma ontsleutelt automatisch alle versleutelde bestanden op je harde schijf.'