MIRROR-ransomware

Tegen Mezo in Ransomware

Vertalen naar:

Na een grondige analyse van potentiële malwarebedreigingen hebben onderzoekers MIRROR definitief geïdentificeerd als een ransomwarevariant. Het primaire doel van de MIRROR-dreiging is het versleutelen van bestanden op besmette apparaten. Daarnaast onderneemt het een hernoeming van de bestanden en geeft het twee losgeldbrieven uit: één in de vorm van een pop-upvenster en de andere als tekstbestand met de naam 'info-MIRROR.txt'.

De MIRROR Ransomware gebruikt een specifieke naamgevingsconventie voor bestanden die het versleutelt, waarbij de ID van het slachtoffer, het e-mailadres 'tpyrcedrorrim@tuta.io' en de extensie '.Mr' worden toegevoegd. Het transformeert bijvoorbeeld '1.pdf' in '1.pdf.id-9ECFA74E.[tpyrcedrorrim@tuta.io].Mr', en '2.png' wordt '2.png.id-9ECFA74E.[tpyrcedrorrim@ tuta.io].Mr,' enzovoort. Deze specifieke bedreiging is gecategoriseerd als een variant binnen de Dharma Ransomware- familie.

Inhoudsopgave

De MIRROR Ransomware gaat verder dan bestandsversleuteling

Naast het versleutelen van bestanden, gebruikt MIRROR strategische maatregelen om de veiligheid van het beoogde systeem verder in gevaar te brengen. Eén van die tactieken is het uitschakelen van de firewall, waardoor de kwetsbaarheid van het systeem voor de kwaadaardige activiteiten die door de ransomware worden georkestreerd, wordt vergroot. Bovendien onderneemt MIRROR doelbewuste acties om de schaduwvolumekopieën te wissen, waardoor potentiële herstelpunten effectief worden geëlimineerd en herstelinspanningen worden belemmerd.

MIRROR maakt gebruik van kwetsbaarheden binnen Remote Desktop Protocol (RDP)-services als primaire vector voor infectie. Meestal gaat het daarbij om het misbruiken van zwakke accountreferenties via methoden als brute force en woordenboekaanvallen. Door gebruik te maken van deze technieken krijgt de ransomware ongeautoriseerde toegang tot systemen, vooral systemen met onvoldoende beheerde accountbeveiliging.

Bovendien beschikt MIRROR over de mogelijkheid om locatiegegevens te extraheren, waardoor het de geografische context van de geïnfecteerde systemen kan onderscheiden. Het beschikt met name over de mogelijkheid om vooraf bepaalde locaties uit te sluiten van het bereik van de gegevensextractie. Bovendien bevat MIRROR persistentiemechanismen, die ervoor zorgen dat het gedurende een langere periode voet aan de grond kan houden binnen het gecompromitteerde systeem.

Slachtoffers van de MIRROR Ransomware worden afgeperst voor geld

De losgeldbrief van de MIRROR Ransomware dient als communicatiemiddel van de aanvallers naar het slachtoffer, waarin expliciet wordt vermeld dat alle bestanden van het slachtoffer zijn versleuteld. Het schetst een mogelijke weg voor bestandsherstel, waarbij het slachtoffer wordt geïnstrueerd contact op te nemen via een opgegeven e-mailadres (tpyrcedrorrim@tuta.io) en een unieke identificatiecode wordt verstrekt.

Als alternatief communicatiemiddel vermeldt de notitie ook een ander e-mailadres (mirrorrorrim@cock.li). Met name wordt in de nota het gebruik van tussenpersonen voor communicatie sterk afgeraden, waarbij potentiële risico's worden genoemd, zoals te hoge kosten, ongerechtvaardigde afschrijvingen en het afwijzen van transacties. De aanvallers beweren dat ze in staat zijn gecodeerde gegevenshersteldiensten te leveren en bieden garanties, waaronder een hersteldemonstratie met maximaal drie bestanden om hun vaardigheid te onderbouwen.

Bovendien geeft de losgeldbrief een waarschuwend advies aan het slachtoffer, waarin expliciet wordt geadviseerd om de naam van versleutelde bestanden niet te wijzigen. Het waarschuwt ook voor pogingen tot decodering via software van derden, waarbij de nadruk wordt gelegd op de mogelijke gevolgen van permanent gegevensverlies of de vatbaarheid voor oplichting. De bedoeling is om het slachtoffer te begeleiden bij de veiligste handelwijze om de kansen op succesvol bestandsherstel te maximaliseren en tegelijkertijd de potentiële risico's te minimaliseren.

Neem maatregelen om uw apparaten te beschermen tegen ransomware-infecties

Ransomware vormt een aanzienlijke bedreiging voor de veiligheid van digitale apparaten, met mogelijke gevolgen variërend van gegevensverlies tot financiële afpersing. Het implementeren van proactieve maatregelen is van cruciaal belang om apparaten tegen dergelijke infecties te beschermen. Hier zijn vijf effectieve stappen die gebruikers kunnen nemen:

Update besturingssystemen en software regelmatig : Het up-to-date houden van besturingssystemen en software is van cruciaal belang, omdat updates vaak beveiligingspatches bevatten die kwetsbaarheden aanpakken. Controleer regelmatig op updates en pas deze toe om het risico te verkleinen dat ransomware misbruik maakt van bekende zwakke punten.
Beveiligingssoftware installeren en onderhouden : Het gebruik van betrouwbare beveiligingssoftware biedt een extra verdedigingslaag tegen ransomware. Zorg ervoor dat het anti-malwareprogramma regelmatig wordt bijgewerkt en voer geplande scans uit om potentiële bedreigingen te detecteren en te elimineren voordat ze uw apparaat in gevaar kunnen brengen.
Wees voorzichtig met e-mailbijlagen en links : Ransomware infiltreert vaak systemen via phishing-e-mails die kwaadaardige bijlagen of links bevatten. Wees zeer voorzichtig bij het openen van e-mails van onbekende afzenders, klik niet op verdachte links en download geen bijlagen, tenzij hun legitimiteit is geverifieerd.
Regelmatig back-ups maken van gegevens : Het maken van regelmatige back-ups van essentiële gegevens is een cruciale preventieve maatregel. Bij een ransomware-aanval kunnen gebruikers met recente back-ups hun bestanden herstellen zonder te bezwijken voor afpersing. Bewaar back-ups op een extern apparaat of een beveiligde cloudservice.
Implementeer netwerkbeveiligingsmaatregelen : het versterken van de netwerkbeveiliging kan ransomware-aanvallen tegenhouden. Maak gebruik van firewalls en inbraakdetectie-/preventiesystemen, gebruik unieke en sterke wachtwoorden voor alle apparaten en accounts en overweeg het segmenteren van netwerken om de potentiële impact van een infectie op het hele systeem te beperken.

Door deze maatregelen te nemen kunnen gebruikers de veerkracht van hun apparaten tegen ransomware aanzienlijk vergroten, hun waardevolle gegevens beschermen en de integriteit van hun digitale omgeving behouden.

De volledige tekst van het belangrijkste losgeldbriefje achtergelaten door de MIRROR Ransomware is:

'MIRROR
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: tpyrcedrorrim@tuta.io YOUR ID 9ECFA84E
If you have not answered by mail within 12 hours, write to us by another mail:mirrorrorrim@cock.li
We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.
-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.
Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Het tekstbestand dat door de MIRROR Ransomware is verwijderd, bevat het volgende bericht:

'Al uw gegevens zijn voor ons vergrendeld

Wil je terugkeren?

schrijf e-mail tpyrcedrorrim@tuta.io of mirrorrorrim@cock.li'

Enigma Software Group heerst over Malwarebytes op het negende circuit

Zoeken

Veranderen van regio

MIRROR-ransomware

De MIRROR Ransomware gaat verder dan bestandsversleuteling

Slachtoffers van de MIRROR Ransomware worden afgeperst voor geld

Neem maatregelen om uw apparaten te beschermen tegen ransomware-infecties

Commentaar toevoegen

Trending

Flameforgesmith.top

MacOS is geïnfecteerd - Virus gevonden melding Scam

SNet-ransomware

Meest bekeken

Discord toont zwart scherm bij delen van scherm

Hoe de fout 'Printerstuurprogramma is niet...

Wat is Msedge.exe?