Mimic Ransomware

Cercetătorii în domeniul securității cibernetice au lansat detalii despre o tulpină de ransomware necunoscută anterior, care profită de API-urile of Everything, un motor de căutare Windows pentru nume de fișiere dezvoltat de Voidtools. Acest ransomware, urmărit ca Mimic, a fost observat pentru prima dată în sălbăticie în iunie 2022 și pare să vizeze atât utilizatorii vorbitori de limbă rusă, cât și cei de limbă engleză.

Mimic Ransomware este echipat cu mai multe capabilități, cum ar fi ștergerea Copiilor Shadow Volume, terminarea mai multor aplicații și servicii și abuzul de funcții Everything32.dll pentru a interoga fișierele țintă pentru criptare. Se crede că amenințarea a fost dezvoltată cel puțin parțial din generatorul Conti Ransomware care a fost scurs în martie 2022. Informațiile despre amenințare au fost publicate într-un raport publicat de experții infosec.

Imita lanțul de infecție al ransomware-ului

Amenințarea Mimic este implementată pe dispozitivele încălcate ca un fișier executabil care, la rândul său, elimină mai multe fișiere binare, inclusiv o arhivă protejată prin parolă deghizat în Everything64.dll. Această arhivă conține încărcătura utilă de ransomware. Include, de asemenea, instrumente pentru dezactivarea Windows Defender și a binarelor sdel legitime.

Când Mimic Ransomware este executat, acesta își va arunca componentele în folderul %Temp%/7zipSfx și va extrage Everything64.dll protejat de parolă în același director folosind 7za.exe cu comanda: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. În plus, va arunca un fișier cheie de sesiune numit session.tmp în același director, care va fi folosit pentru continuarea criptării în caz de întrerupere a procesului.

Ulterior, Mimic Ransomware va copia toate fișierele aruncate în „%LocalAppData%{Random GUID}\” înainte de a se redenumește în „bestplacetolive.exe” și de a șterge fișierele originale din %Temp%.

Capacitățile amenințătoare ale ransomware-ului Mimic

Mimic Ransomware folosește mai multe fire de execuție și funcția CreateThread pentru a cripta fișierele rapid, ceea ce face dificilă analiza de către cercetătorii de securitate. Are o gamă largă de capabilități, cum ar fi colectarea informațiilor despre sistem, crearea persistenței prin intermediul tastei RUN, ocolirea Controlului contului de utilizator (UAC), dezactivarea Windows Defender și telemetria, activarea măsurilor anti-oprire, oprirea proceselor și serviciilor, interferarea cu Recuperarea sistemului și multe altele.

Pentru a-și atinge obiectivele de criptare, Mimic Ransomware abuzează de Everything32.dll - un motor de căutare Windows legitim pentru nume de fișiere - pentru a interoga anumite extensii de fișiere și nume de fișiere pentru a le prelua căile, fie pentru criptare, fie pentru a le exclude din procesul de criptare. După criptarea fișierelor țintă, amenințarea adaugă extensia „.QUIETPLACE” la numele acestora. Amenințarea afișează mai multe mesaje care necesită răscumpărare - unul în timpul procesului de pornire, unul ca fișier text numit „Decrypt_me.txt” și altul care este afișat într-o fereastră pop-up de pe ecranul dispozitivului.

Textul complet al cererilor Mimic Ransomware găsite în fereastra pop-up și fișierul text este:

„Toate fișierele dumneavoastră au fost criptate cu virusul nostru.
ID-ul dvs. unic:

Puteți cumpăra decriptarea completă a fișierelor dvs
Dar înainte de a plăti, puteți să vă asigurați că putem decripta cu adevărat oricare dintre fișierele dvs.
Cheia de criptare și ID-ul sunt unice pentru computerul dvs., așa că aveți garanția că veți putea returna fișierele.

Pentru a face acest lucru:
1) Trimiteți id-ul dvs. unic - și maximum 3 fișiere pentru decriptare de testare
CONTACTELE NOASTRE
1.1) Mesager TOX (rapid și anonim)
hxxps://tox.chat/download.html
Instalați qtox
apăsați sing up
creează-ți propriul nume
Apăsați plus
Pune acolo ID-ul meu de tox
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
Și adaugă-mă/scrie mesaj
1.2) ICQ Messenger
Chat live ICQ care funcționează 24/7 - @mcdonaldsdebtzhlob
Instalați software-ul ICQ pe computer aici hxxps://icq.com/windows/ sau pe smartphone-ul dvs. căutați „ICQ” în Appstore/Google market
Scrieți la ICQ-ul nostru @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Skype
DECRIPTARE MCDONALDSDEBTZHLOB
4) E-mail (scrieți numai în situații critice, deoarece e-mailul dvs. poate să nu fie livrat sau să nu ajungă în spam) mcdonaldsdebtzhlob@onionmail.org

În linia de subiect, vă rugăm să scrieți ID-ul dvs. de decriptare: -

După decriptare, vă vom trimite fișierele decriptate și un portofel unic bitcoin pentru plată.
După plata răscumpărării pentru Bitcoin, vă vom trimite un program de decriptare și instrucțiuni. Dacă vă putem decripta fișierele, nu avem niciun motiv să vă înșelam după plată.

FAQ:
Pot obține o reducere?
Nu. Suma răscumpărării este calculată pe baza numărului de fișiere de birou criptate și nu sunt oferite reduceri. Toate astfel de mesaje vor fi ignorate automat. Dacă într-adevăr doriți doar câteva dintre fișiere, arhivați-le și încărcați-le undeva. Le vom decoda la prețul unui fișier = 1$.
Ce este Bitcoin?
citește bitcoin.org
De unde să cumpăr bitcoin?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (cel mai rapid mod)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
sau utilizați google.com pentru a găsi informații de unde să îl cumpărați
Unde este garanția că îmi voi primi fișierele înapoi?
Însuși faptul că vă putem decripta fișierele aleatorii este o garanție. Nu are sens ca noi să te înșelăm.
Cât de repede voi primi cheia și programul de decriptare după plată?
De regulă, timp de 15 min
Cum funcționează programul de decriptare?
E simplu. Trebuie să rulați software-ul nostru. Programul va decripta automat toate fișierele criptate de pe HDD.'