Mimic Ransomware

Os pesquisadores de segurança cibernética divulgaram detalhes sobre um tipo de ransomware anteriormente desconhecida que tira proveito das APIs do Everything, um mecanismo de pesquisa de nome de arquivo do Windows desenvolvido pela Voidtools. Este ransomware, rastreado como Mimic, foi detectado pela primeira vez na natureza em junho de 2022 e parece ter como alvo usuários que falam russo e inglês.

O Mimic Ransomware está equipado com vários recursos, como excluir as cópias de volume de sombra, encerrar vários aplicativos e serviços e abusar das funções do Everything32.dll para consultar os arquivos de destino para criptografia. Acredita-se que a ameaça tenha sido pelo menos parcialmente desenvolvida a partir do construtor do Conti Ransomware que vazou em março de 2022. As informações sobre a ameaça foram divulgadas em um relatório divulgado por especialistas em infosec.

A Cadeia de Infecção do Mimic Ransomware

A ameaça Mimic é implantada nos dispositivos violados como um arquivo executável que, por sua vez, elimina vários binários, incluindo um arquivo protegido por senha disfarçado como Everything64.dll. Este arquivo contém a carga útil do ransomware. Ele também inclui ferramentas para desabilitar o Windows Defender e os binários sdel legítimos.

Quando o Mimic Ransomware é executado, ele coloca seus componentes na pasta %Temp%/7zipSfx e extrai o Everything64.dll protegido por senha para o mesmo diretório usando 7za.exe com o comando: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. Além disso, ele descartará um arquivo de chave de sessão chamado session.tmp no mesmo diretório, que será usado para continuar a criptografia em caso de interrupção no processo.

Posteriormente, o Mimic Ransomware copiará todos os arquivos descartados para '%LocalAppData%{Random GUID}\' antes de renomear-se para 'bestplacetolive.exe' e excluir os arquivos originais de %Temp%.

Os Recursos Ameaçadores do Mimic Ransomware

O Mimic Ransomware emprega vários encadeamentos e a função CreateThread para criptografar arquivos rapidamente, dificultando a análise dos pesquisadores de segurança. Possui uma ampla gama de recursos, como coletar informações do sistema, criar persistência por meio da tecla RUN, ignorar o Controle de Conta de Usuário (UAC), desabilitar o Windows Defender e a telemetria, ativar medidas anti-desligamento, encerrar processos e serviços, interferir em a Recuperação do Sistema e muito mais.

Para atingir seus objetivos de criptografia, o Mimic Ransomware abusa do Everything32.dll - um mecanismo de pesquisa de nome de arquivo legítimo do Windows - para consultar certas extensões de arquivo e nomes de arquivo para recuperar seus caminhos, seja para criptografia ou para excluí-los do processo de criptografia. Depois de criptografar os arquivos de destino, a ameaça acrescenta a extensão '.QUIETPLACE' aos seus nomes. A ameaça exibe várias mensagens exigindo resgate - uma durante o processo de inicialização, uma como um arquivo de texto chamado 'Decrypt_me.txt' e outra que é mostrada em uma janela pop-up na tela do dispositivo.

O texto completo das demandas do Mimic Ransomware encontradas na janela pop-up e no arquivo de texto é:

'Todos os seus arquivos foram criptografados com o nosso vírus.
Seu ID exclusivo:

Você pode comprar a descriptografia completa de seus arquivos
Mas antes de pagar, você pode ter certeza de que podemos realmente descriptografar qualquer um dos seus arquivos.
A chave de criptografia e o ID são exclusivos do seu computador, portanto, você pode devolver seus arquivos.

Para fazer isso:
1) Envie seu ID exclusivo - e no máximo 3 arquivos para descriptografia de teste
NOSSOS CONTATOS
1.1) Mensageiro TOX (rápido e anônimo)
hxxps://tox.chat/download.html
Instalar qtox
pressione cantar
crie seu próprio nome
Pressione mais
Coloque lá meu ID toxicológico
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
E me adicione/escreva mensagem
1.2) Mensageiro ICQ
Chat ao vivo do ICQ que funciona 24/7 - @mcdonaldsdebtzhlob
Instale o software ICQ no seu PC aqui hxxps://icq.com/windows/ ou no seu smartphone procure por "ICQ" na Appstore / Google market
Escreva para nosso ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3)Skype
DESCRIPTAÇÃO DO MCDONALDSDEBTZHLOB
4) Correio (escreva apenas em situações críticas porque seu e-mail pode não ser entregue ou cair no spam) mcdonaldsdebtzhlob@onionmail.org

Na linha de assunto, escreva seu ID de descriptografia: -

Após a descriptografia, enviaremos a você os arquivos descriptografados e uma carteira bitcoin exclusiva para pagamento.
Após o pagamento do resgate por Bitcoin, enviaremos a você um programa de descriptografia e instruções. Se pudermos descriptografar seus arquivos, não teremos motivos para enganá-lo após o pagamento.

PERGUNTAS FREQUENTES:
Posso obter um desconto?
Não. O valor do resgate é calculado com base no número de arquivos de escritório criptografados e não há descontos. Todas essas mensagens serão automaticamente ignoradas. Se você realmente deseja apenas alguns dos arquivos, compacte-os e carregue-os em algum lugar. Nós os decodificaremos pelo preço de 1 arquivo = 1$.
O que é Bitcoin?
leia bitcoin.org
Onde comprar bitcoins?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (maneira mais rápida)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
ou use google.com para encontrar informações sobre onde comprá-lo
Onde está a garantia de que receberei meus arquivos de volta?
O próprio fato de podermos descriptografar seus arquivos aleatórios é uma garantia. Não faz sentido para nós enganá-lo.
Com que rapidez receberei a chave e o programa de descriptografia após o pagamento?
Via de regra, durante 15 min
Como funciona o programa de descriptografia?
É simples. Você precisa executar nosso software. O programa irá descriptografar automaticamente todos os arquivos criptografados em seu disco rígido.'