Mimic Ransomware
Tabloul de scor amenințări
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards sunt rapoarte de evaluare pentru diferite amenințări malware care au fost colectate și analizate de echipa noastră de cercetare. EnigmaSoft Threat Scorecards evaluează și clasifică amenințările folosind mai multe valori, inclusiv factori de risc din lumea reală și potențiali, tendințe, frecvență, prevalență și persistență. EnigmaSoft Threat Scorecards sunt actualizate în mod regulat pe baza datelor și valorilor noastre de cercetare și sunt utile pentru o gamă largă de utilizatori de computere, de la utilizatorii finali care caută soluții pentru a elimina programele malware din sistemele lor până la experții în securitate care analizează amenințările.
EnigmaSoft Threat Scorecards afișează o varietate de informații utile, inclusiv:
Clasament: clasamentul unei anumite amenințări în baza de date a amenințărilor EnigmaSoft.
Nivel de severitate: nivelul de severitate determinat al unui obiect, reprezentat numeric, pe baza procesului și cercetării noastre de modelare a riscului, așa cum este explicat în Criteriile noastre de evaluare a amenințărilor .
Calculatoare infectate: numărul de cazuri confirmate și suspectate ale unei anumite amenințări detectate pe computerele infectate, așa cum este raportat de SpyHunter.
Consultați și Criteriile de evaluare a amenințărilor .
Nivel de amenintare: | 100 % (Înalt) |
Calculatoare infectate: | 2 |
Prima vedere: | February 8, 2023 |
Vazut ultima data: | March 1, 2023 |
OS afectat(e): | Windows |
Cercetătorii în domeniul securității cibernetice au lansat detalii despre o tulpină de ransomware necunoscută anterior, care profită de API-urile of Everything, un motor de căutare Windows pentru nume de fișiere dezvoltat de Voidtools. Acest ransomware, urmărit ca Mimic, a fost observat pentru prima dată în sălbăticie în iunie 2022 și pare să vizeze atât utilizatorii vorbitori de limbă rusă, cât și cei de limbă engleză.
Mimic Ransomware este echipat cu mai multe capabilități, cum ar fi ștergerea Copiilor Shadow Volume, terminarea mai multor aplicații și servicii și abuzul de funcții Everything32.dll pentru a interoga fișierele țintă pentru criptare. Se crede că amenințarea a fost dezvoltată cel puțin parțial din generatorul Conti Ransomware care a fost scurs în martie 2022. Informațiile despre amenințare au fost publicate într-un raport publicat de experții infosec.
Cuprins
Imita lanțul de infecție al ransomware-ului
Amenințarea Mimic este implementată pe dispozitivele încălcate ca un fișier executabil care, la rândul său, elimină mai multe fișiere binare, inclusiv o arhivă protejată prin parolă deghizat în Everything64.dll. Această arhivă conține încărcătura utilă de ransomware. Include, de asemenea, instrumente pentru dezactivarea Windows Defender și a binarelor sdel legitime.
Când Mimic Ransomware este executat, acesta își va arunca componentele în folderul %Temp%/7zipSfx și va extrage Everything64.dll protejat de parolă în același director folosind 7za.exe cu comanda: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. În plus, va arunca un fișier cheie de sesiune numit session.tmp în același director, care va fi folosit pentru continuarea criptării în caz de întrerupere a procesului.
Ulterior, Mimic Ransomware va copia toate fișierele aruncate în „%LocalAppData%{Random GUID}\” înainte de a se redenumește în „bestplacetolive.exe” și de a șterge fișierele originale din %Temp%.
Capacitățile amenințătoare ale ransomware-ului Mimic
Mimic Ransomware folosește mai multe fire de execuție și funcția CreateThread pentru a cripta fișierele rapid, ceea ce face dificilă analiza de către cercetătorii de securitate. Are o gamă largă de capabilități, cum ar fi colectarea informațiilor despre sistem, crearea persistenței prin intermediul tastei RUN, ocolirea Controlului contului de utilizator (UAC), dezactivarea Windows Defender și telemetria, activarea măsurilor anti-oprire, oprirea proceselor și serviciilor, interferarea cu Recuperarea sistemului și multe altele.
Pentru a-și atinge obiectivele de criptare, Mimic Ransomware abuzează de Everything32.dll - un motor de căutare Windows legitim pentru nume de fișiere - pentru a interoga anumite extensii de fișiere și nume de fișiere pentru a le prelua căile, fie pentru criptare, fie pentru a le exclude din procesul de criptare. După criptarea fișierelor țintă, amenințarea adaugă extensia „.QUIETPLACE” la numele acestora. Amenințarea afișează mai multe mesaje care necesită răscumpărare - unul în timpul procesului de pornire, unul ca fișier text numit „Decrypt_me.txt” și altul care este afișat într-o fereastră pop-up de pe ecranul dispozitivului.
Textul complet al cererilor Mimic Ransomware găsite în fereastra pop-up și fișierul text este:
„Toate fișierele dumneavoastră au fost criptate cu virusul nostru.
ID-ul dvs. unic:Puteți cumpăra decriptarea completă a fișierelor dvs
Dar înainte de a plăti, puteți să vă asigurați că putem decripta cu adevărat oricare dintre fișierele dvs.
Cheia de criptare și ID-ul sunt unice pentru computerul dvs., așa că aveți garanția că veți putea returna fișierele.Pentru a face acest lucru:
1) Trimiteți id-ul dvs. unic - și maximum 3 fișiere pentru decriptare de testare
CONTACTELE NOASTRE
1.1) Mesager TOX (rapid și anonim)
hxxps://tox.chat/download.html
Instalați qtox
apăsați sing up
creează-ți propriul nume
Apăsați plus
Pune acolo ID-ul meu de tox
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
Și adaugă-mă/scrie mesaj
1.2) ICQ Messenger
Chat live ICQ care funcționează 24/7 - @mcdonaldsdebtzhlob
Instalați software-ul ICQ pe computer aici hxxps://icq.com/windows/ sau pe smartphone-ul dvs. căutați „ICQ” în Appstore/Google market
Scrieți la ICQ-ul nostru @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Skype
DECRIPTARE MCDONALDSDEBTZHLOB
4) E-mail (scrieți numai în situații critice, deoarece e-mailul dvs. poate să nu fie livrat sau să nu ajungă în spam) mcdonaldsdebtzhlob@onionmail.orgÎn linia de subiect, vă rugăm să scrieți ID-ul dvs. de decriptare: -
După decriptare, vă vom trimite fișierele decriptate și un portofel unic bitcoin pentru plată.
După plata răscumpărării pentru Bitcoin, vă vom trimite un program de decriptare și instrucțiuni. Dacă vă putem decripta fișierele, nu avem niciun motiv să vă înșelam după plată.FAQ:
Pot obține o reducere?
Nu. Suma răscumpărării este calculată pe baza numărului de fișiere de birou criptate și nu sunt oferite reduceri. Toate astfel de mesaje vor fi ignorate automat. Dacă într-adevăr doriți doar câteva dintre fișiere, arhivați-le și încărcați-le undeva. Le vom decoda la prețul unui fișier = 1$.
Ce este Bitcoin?
citește bitcoin.org
De unde să cumpăr bitcoin?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (cel mai rapid mod)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
sau utilizați google.com pentru a găsi informații de unde să îl cumpărați
Unde este garanția că îmi voi primi fișierele înapoi?
Însuși faptul că vă putem decripta fișierele aleatorii este o garanție. Nu are sens ca noi să te înșelăm.
Cât de repede voi primi cheia și programul de decriptare după plată?
De regulă, timp de 15 min
Cum funcționează programul de decriptare?
E simplu. Trebuie să rulați software-ul nostru. Programul va decripta automat toate fișierele criptate de pe HDD.'
Detaliile sistemului de fișiere
# | Nume de fișier | MD5 |
Detectări
Detectări: numărul de cazuri confirmate și suspectate ale unei anumite amenințări detectate pe computerele infectate, așa cum este raportat de SpyHunter.
|
---|---|---|---|
1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |