Naśladuj ransomware
Karta wyników zagrożenia
Karta wyników zagrożeń EnigmaSoft
EnigmaSoft Threat Scorecards to raporty oceniające różne zagrożenia złośliwym oprogramowaniem, które zostały zebrane i przeanalizowane przez nasz zespół badawczy. EnigmaSoft Threat Scorecards ocenia i klasyfikuje zagrożenia przy użyciu kilku wskaźników, w tym rzeczywistych i potencjalnych czynników ryzyka, trendów, częstotliwości, rozpowszechnienia i trwałości. Karty oceny zagrożeń EnigmaSoft są regularnie aktualizowane na podstawie danych i wskaźników naszych badań i są przydatne dla szerokiego grona użytkowników komputerów, od użytkowników końcowych poszukujących rozwiązań do usuwania złośliwego oprogramowania ze swoich systemów po ekspertów ds. bezpieczeństwa analizujących zagrożenia.
Karty wyników zagrożeń EnigmaSoft wyświetlają wiele przydatnych informacji, w tym:
Ranking: Ranking konkretnego zagrożenia w bazie danych zagrożeń EnigmaSoft.
Poziom ważności: Określony poziom ważności obiektu, przedstawiony liczbowo, na podstawie naszego procesu modelowania ryzyka i badań, jak wyjaśniono w naszych Kryteriach oceny zagrożeń .
Zainfekowane komputery: liczba potwierdzonych i podejrzewanych przypadków określonego zagrożenia wykrytych na zainfekowanych komputerach według danych SpyHunter.
Zobacz także Kryteria oceny zagrożeń .
| Poziom zagrożenia: | 100 % (Wysoka) |
| Zainfekowane komputery: | 2 |
| Pierwszy widziany: | February 8, 2023 |
| Ostatnio widziany: | March 1, 2023 |
| Systemy operacyjne, których dotyczy problem: | Windows |
Analitycy cyberbezpieczeństwa opublikowali szczegółowe informacje na temat nieznanego wcześniej szczepu oprogramowania ransomware, który wykorzystuje interfejsy API Everything, wyszukiwarki nazw plików systemu Windows opracowanej przez firmę Voidtools. To oprogramowanie ransomware, śledzone jako Mimic, zostało po raz pierwszy zauważone w środowisku naturalnym w czerwcu 2022 r. I wydaje się, że atakuje zarówno użytkowników rosyjsko-, jak i anglojęzycznych.
Mimic Ransomware jest wyposażony w wiele możliwości, takich jak usuwanie kopii woluminów w tle, zamykanie wielu aplikacji i usług oraz nadużywanie funkcji Everything32.dll w celu wysyłania zapytań do plików docelowych w celu zaszyfrowania. Uważa się, że zagrożenie zostało przynajmniej częściowo opracowane z narzędzia Conti Ransomware , które wyciekło w marcu 2022 r. Informacje o zagrożeniu zostały ujawnione w raporcie opublikowanym przez ekspertów infosec.
Spis treści
Naśladuj łańcuch infekcji ransomware
Zagrożenie Mimic jest instalowane na zaatakowanych urządzeniach jako plik wykonywalny, który z kolei upuszcza wiele plików binarnych, w tym chronione hasłem archiwum przebrane za Everything64.dll. To archiwum zawiera ładunek oprogramowania ransomware. Zawiera również narzędzia do wyłączania programu Windows Defender i legalnych plików binarnych sdel.
Gdy Mimic Ransomware zostanie uruchomiony, zrzuci swoje komponenty do folderu %Temp%/7zipSfx i rozpakuje chroniony hasłem Everything64.dll do tego samego katalogu za pomocą 7za.exe za pomocą polecenia: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. Dodatkowo umieści w tym samym katalogu plik klucza sesji o nazwie session.tmp, który będzie używany do kontynuowania szyfrowania w przypadku przerwania procesu.
Następnie Mimic Ransomware skopiuje wszystkie upuszczone pliki do „%LocalAppData%{Random GUID}\”, zanim zmieni nazwę na „bestplacetolive.exe” i usunie oryginalne pliki z %Temp%.
Zagrożone możliwości Mimic Ransomware
Mimic Ransomware wykorzystuje wiele wątków i funkcję CreateThread do szybkiego szyfrowania plików, co utrudnia analitykom bezpieczeństwa analizę. Ma szeroki zakres możliwości, takich jak zbieranie informacji o systemie, tworzenie trwałości za pomocą klucza RUN, omijanie kontroli konta użytkownika (UAC), wyłączanie usługi Windows Defender i telemetrii, aktywowanie środków zapobiegających zamknięciu, kończenie procesów i usług, ingerowanie w Odzyskiwanie systemu i nie tylko.
Aby osiągnąć swoje cele związane z szyfrowaniem, Mimic Ransomware wykorzystuje Everything32.dll – legalną wyszukiwarkę nazw plików systemu Windows – do wysyłania zapytań do określonych rozszerzeń plików i nazw plików w celu odzyskania ich ścieżek w celu zaszyfrowania lub wykluczenia ich z procesu szyfrowania. Po zaszyfrowaniu plików docelowych zagrożenie dodaje do ich nazw rozszerzenie „.QUIETPLACE”. Zagrożenie wyświetla wiele wiadomości z żądaniem okupu – jedną podczas procesu uruchamiania, jedną w postaci pliku tekstowego o nazwie „Decrypt_me.txt” oraz kolejną wyświetlaną w wyskakującym okienku na ekranie urządzenia.
Pełny tekst żądań Mimic Ransomware znaleziony w wyskakującym okienku i pliku tekstowym to:
„Wszystkie twoje pliki zostały zaszyfrowane naszym wirusem.
Twój unikalny identyfikator:Możesz kupić pełne odszyfrowanie swoich plików
Ale zanim zapłacisz, możesz upewnić się, że naprawdę możemy odszyfrować każdy z twoich plików.
Klucz szyfrowania i identyfikator są unikalne dla Twojego komputera, więc masz gwarancję, że będziesz mógł zwrócić swoje pliki.Aby to zrobić:
1) Wyślij swój unikalny identyfikator - i maksymalnie 3 pliki do testowego odszyfrowania
NASZE KONTAKTY
1.1) Komunikator TOX (szybki i anonimowy)
hxxps://tox.chat/download.html
Zainstaluj qtoxa
naciśnij zapisz się
stworzyć własne imię
Naciśnij plusa
Umieść tam mój identyfikator toksykologiczny
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
I dodaj mnie/napisz wiadomość
1.2) Komunikator ICQ
Czat na żywo ICQ, który działa 24 godziny na dobę, 7 dni w tygodniu - @mcdonaldsdebtzhlob
Zainstaluj oprogramowanie ICQ na swoim komputerze tutaj hxxps://icq.com/windows/ lub na smartfonie wyszukaj „ICQ” w Appstore / Google market
Napisz do naszego ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3)Skype
DESZYFROWANIE MCDONALDSDEBTZHLOB
4) Poczta (pisz tylko w krytycznych sytuacjach, ponieważ Twój e-mail może nie zostać dostarczony lub dostać się do spamu) mcdonaldsdebtzhlob@onionmail.orgW temacie wpisz swój identyfikator odszyfrowywania: -
Po odszyfrowaniu wyślemy Ci odszyfrowane pliki i unikalny portfel bitcoin do zapłaty.
Po zapłaceniu okupu za Bitcoiny wyślemy Ci program deszyfrujący i instrukcje. Jeśli uda nam się odszyfrować Twoje pliki, nie mamy powodu, by oszukiwać Cię po dokonaniu płatności.Często zadawane pytania:
Czy mogę otrzymać zniżkę?
Nie. Kwota okupu jest obliczana na podstawie liczby zaszyfrowanych plików biurowych i nie udziela się rabatów. Wszystkie takie wiadomości będą automatycznie ignorowane. Jeśli naprawdę chcesz tylko niektóre pliki, spakuj je i prześlij gdzieś. Odkodujemy je w cenie 1 pliku = 1$.
Co to jest Bitcoin?
przeczytaj bitcoin.org
Gdzie kupić bitcoiny?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (najszybszy sposób)
kup.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
lub skorzystaj z google.com, aby znaleźć informacje, gdzie go kupić
Gdzie jest gwarancja, że otrzymam swoje pliki z powrotem?
Sam fakt, że możemy odszyfrować Twoje przypadkowe pliki, jest gwarancją. Nie ma sensu, żebyśmy cię oszukiwali.
Jak szybko otrzymam klucz i program deszyfrujący po dokonaniu płatności?
Z reguły w ciągu 15 min
Jak działa program deszyfrujący?
To proste. Musisz uruchomić nasze oprogramowanie. Program automatycznie odszyfruje wszystkie zaszyfrowane pliki na dysku twardym.'
Szczegóły systemu plików
| # | Nazwa pliku | MD5 |
Wykrycia
Wykrycia: liczba potwierdzonych i podejrzewanych przypadków określonego zagrożenia wykrytych na zainfekowanych komputerach według danych SpyHunter.
|
|---|---|---|---|
| 1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |
