Имитация программ-вымогателей
Карта показателей угрозы
Карта оценки угроз EnigmaSoft
EnigmaSoft Threat Scorecards — это отчеты об оценке различных вредоносных программ, которые были собраны и проанализированы нашей исследовательской группой. EnigmaSoft Threat Scorecards оценивает и ранжирует угрозы, используя несколько показателей, включая реальные и потенциальные факторы риска, тенденции, частоту, распространенность и постоянство. EnigmaSoft Threat Scorecards регулярно обновляются на основе данных и показателей наших исследований и полезны для широкого круга пользователей компьютеров, от конечных пользователей, ищущих решения для удаления вредоносных программ из своих систем, до экспертов по безопасности, анализирующих угрозы.
EnigmaSoft Threat Scorecards отображает разнообразную полезную информацию, в том числе:
Рейтинг: рейтинг конкретной угрозы в базе данных угроз EnigmaSoft.
Уровень серьезности: определенный уровень серьезности объекта, представленный в числовом виде на основе нашего процесса моделирования рисков и исследований, как описано в наших критериях оценки угроз .
Зараженные компьютеры: количество подтвержденных и предполагаемых случаев конкретной угрозы, обнаруженной на зараженных компьютерах, по данным SpyHunter.
См. также Критерии оценки угроз .
Уровень угрозы: | 100 % (Высокая) |
Зараженные компьютеры: | 2 |
Первый раз: | February 8, 2023 |
Последний визит: | March 1, 2023 |
ОС(а) Затронутые: | Windows |
Исследователи кибербезопасности опубликовали подробности о ранее неизвестном штамме программы-вымогателя, который использует преимущества API Everything, поисковой системы Windows по именам файлов, разработанной Voidtools. Эта программа-вымогатель, отслеживаемая как Mimic, впервые была обнаружена в дикой природе в июне 2022 года и, по-видимому, нацелена как на русскоязычных, так и на англоязычных пользователей.
Mimic Ransomware оснащен множеством возможностей, таких как удаление теневых копий томов, завершение работы нескольких приложений и служб и злоупотребление функциями Everything32.dll для запроса целевых файлов на шифрование. Считается, что угроза была по крайней мере частично разработана из сборщика Conti Ransomware , информация о котором просочилась еще в марте 2022 года. Информация об угрозе была опубликована в отчете, опубликованном экспертами по информационной безопасности.
Оглавление
Имитировать цепочку заражения программами-вымогателями
Угроза Mimic развертывается на взломанных устройствах в виде исполняемого файла, который, в свою очередь, сбрасывает несколько двоичных файлов, в том числе защищенный паролем архив, замаскированный под Everything64.dll. Этот архив содержит полезную нагрузку программы-вымогателя. Он также включает инструменты для отключения Защитника Windows и законных двоичных файлов sdel.
Когда Mimic Ransomware запускается, он помещает свои компоненты в папку %Temp%/7zipSfx и извлекает защищенный паролем Everything64.dll в тот же каталог с помощью 7za.exe с помощью команды: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. Кроме того, в тот же каталог будет помещен файл ключа сеанса с именем session.tmp, который будет использоваться для продолжения шифрования в случае прерывания процесса.
После этого Mimic Ransomware скопирует все удаленные файлы в «%LocalAppData%{Random GUID}\», прежде чем переименовать себя в «bestplacetolive.exe» и удалить исходные файлы из %Temp%.
Угрожающие возможности мимикрирующих программ-вымогателей
Mimic Ransomware использует несколько потоков и функцию CreateThread для быстрого шифрования файлов, что затрудняет анализ исследователям безопасности. Он имеет широкий спектр возможностей, таких как сбор системной информации, создание постоянства с помощью ключа RUN, обход контроля учетных записей (UAC), отключение Защитника Windows и телеметрии, активация мер защиты от завершения работы, завершение процессов и служб, вмешательство в Восстановление системы и многое другое.
Для достижения своих целей шифрования программа-вымогатель Mimic использует Everything32.dll — законную поисковую систему Windows для имен файлов — для запроса определенных расширений файлов и имен файлов, чтобы получить их пути либо для шифрования, либо для исключения их из процесса шифрования. После шифрования целевых файлов угроза добавляет к их именам расширение «.QUIETPLACE». Угроза отображает несколько сообщений с требованием выкупа — одно во время процесса запуска, одно в виде текстового файла с именем «Decrypt_me.txt», а другое отображается во всплывающем окне на экране устройства.
Полный текст требований Mimic Ransomware во всплывающем окне и текстовом файле:
«Все ваши файлы зашифрованы Нашим вирусом.
Ваш уникальный идентификатор:Вы можете купить полную расшифровку ваших файлов
Но прежде чем платить, вы можете убедиться, что мы действительно можем расшифровать любой из ваших файлов.
Ключ шифрования и идентификатор уникальны для вашего компьютера, поэтому вы гарантированно сможете вернуть свои файлы.Сделать это:
1) Отправьте свой уникальный идентификатор и максимум 3 файла для тестовой расшифровки
НАШИ КОНТАКТЫ
1.1)Мессенджер TOX (быстро и анонимно)
hxxps://tox.chat/download.html
Установить qtox
нажмите подпевать
создай свое имя
Нажмите плюс
Поместите туда мой токсикологический идентификатор
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
И добавь меня/напиши сообщение
1.2)Мессенджер ICQ
Живой чат ICQ, который работает 24/7 - @mcdonaldsdebtzhlob
Установите программу ICQ на свой ПК здесь hxxps://icq.com/windows/ или на свой смартфон найдите «ICQ» в Appstore/Google market.
Пишите в нашу аську @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Скайп
МАКДОНАЛДСДЕБТЖЛОБ РАСШИФРОВКА
4)Почта (пишите только в критических ситуациях т.к. ваше письмо может не дойти или попасть в спам) mcdonaldsdebtzhlob@onionmail.orgВ теме письма напишите свой идентификатор расшифровки: -
После расшифровки мы отправим вам расшифрованные файлы и уникальный биткойн-кошелек для оплаты.
После оплаты выкупа за биткойн мы вышлем вам программу расшифровки и инструкции. Если мы сможем расшифровать ваши файлы, у нас нет причин вас обманывать после оплаты.ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ:
Могу ли я получить скидку?
Нет. Сумма выкупа рассчитывается исходя из количества зашифрованных офисных файлов и скидки не предусмотрены. Все такие сообщения будут автоматически игнорироваться. Если вам действительно нужны только некоторые файлы, заархивируйте их и загрузите куда-нибудь. Мы расшифруем их по цене 1 файл = 1$.
Что такое биткойн?
читать биткойн.орг
Где купить биткойны?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (самый быстрый способ)
купить.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
или используйте google.com, чтобы найти информацию о том, где его купить
Где гарантия, что я получу свои файлы обратно?
Сам факт того, что мы можем расшифровать ваши случайные файлы, является гарантией. Нам нет смысла вас обманывать.
Как быстро я получу ключ и программу расшифровки после оплаты?
Как правило, в течение 15 мин.
Как работает программа расшифровки?
Это просто. Вам нужно запустить наше программное обеспечение. Программа автоматически расшифрует все зашифрованные файлы на вашем жестком диске».
Сведения о файловой системе
# | Имя файла | MD5 |
Обнаружения
Обнаружения: количество подтвержденных и предполагаемых случаев конкретной угрозы, обнаруженных на зараженных компьютерах, согласно данным SpyHunter.
|
---|---|---|---|
1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |