Имитация программ-вымогателей

Исследователи кибербезопасности опубликовали подробности о ранее неизвестном штамме программы-вымогателя, который использует преимущества API Everything, поисковой системы Windows по именам файлов, разработанной Voidtools. Эта программа-вымогатель, отслеживаемая как Mimic, впервые была обнаружена в дикой природе в июне 2022 года и, по-видимому, нацелена как на русскоязычных, так и на англоязычных пользователей.

Mimic Ransomware оснащен множеством возможностей, таких как удаление теневых копий томов, завершение работы нескольких приложений и служб и злоупотребление функциями Everything32.dll для запроса целевых файлов на шифрование. Считается, что угроза была по крайней мере частично разработана из сборщика Conti Ransomware , информация о котором просочилась еще в марте 2022 года. Информация об угрозе была опубликована в отчете, опубликованном экспертами по информационной безопасности.

Имитировать цепочку заражения программами-вымогателями

Угроза Mimic развертывается на взломанных устройствах в виде исполняемого файла, который, в свою очередь, сбрасывает несколько двоичных файлов, в том числе защищенный паролем архив, замаскированный под Everything64.dll. Этот архив содержит полезную нагрузку программы-вымогателя. Он также включает инструменты для отключения Защитника Windows и законных двоичных файлов sdel.

Когда Mimic Ransomware запускается, он помещает свои компоненты в папку %Temp%/7zipSfx и извлекает защищенный паролем Everything64.dll в тот же каталог с помощью 7za.exe с помощью команды: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. Кроме того, в тот же каталог будет помещен файл ключа сеанса с именем session.tmp, который будет использоваться для продолжения шифрования в случае прерывания процесса.

После этого Mimic Ransomware скопирует все удаленные файлы в «%LocalAppData%{Random GUID}\», прежде чем переименовать себя в «bestplacetolive.exe» и удалить исходные файлы из %Temp%.

Угрожающие возможности мимикрирующих программ-вымогателей

Mimic Ransomware использует несколько потоков и функцию CreateThread для быстрого шифрования файлов, что затрудняет анализ исследователям безопасности. Он имеет широкий спектр возможностей, таких как сбор системной информации, создание постоянства с помощью ключа RUN, обход контроля учетных записей (UAC), отключение Защитника Windows и телеметрии, активация мер защиты от завершения работы, завершение процессов и служб, вмешательство в Восстановление системы и многое другое.

Для достижения своих целей шифрования программа-вымогатель Mimic использует Everything32.dll — законную поисковую систему Windows для имен файлов — для запроса определенных расширений файлов и имен файлов, чтобы получить их пути либо для шифрования, либо для исключения их из процесса шифрования. После шифрования целевых файлов угроза добавляет к их именам расширение «.QUIETPLACE». Угроза отображает несколько сообщений с требованием выкупа — одно во время процесса запуска, одно в виде текстового файла с именем «Decrypt_me.txt», а другое отображается во всплывающем окне на экране устройства.

Полный текст требований Mimic Ransomware во всплывающем окне и текстовом файле:

«Все ваши файлы зашифрованы Нашим вирусом.
Ваш уникальный идентификатор:

Вы можете купить полную расшифровку ваших файлов
Но прежде чем платить, вы можете убедиться, что мы действительно можем расшифровать любой из ваших файлов.
Ключ шифрования и идентификатор уникальны для вашего компьютера, поэтому вы гарантированно сможете вернуть свои файлы.

Сделать это:
1) Отправьте свой уникальный идентификатор и максимум 3 файла для тестовой расшифровки
НАШИ КОНТАКТЫ
1.1)Мессенджер TOX (быстро и анонимно)
hxxps://tox.chat/download.html
Установить qtox
нажмите подпевать
создай свое имя
Нажмите плюс
Поместите туда мой токсикологический идентификатор
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
И добавь меня/напиши сообщение
1.2)Мессенджер ICQ
Живой чат ICQ, который работает 24/7 - @mcdonaldsdebtzhlob
Установите программу ICQ на свой ПК здесь hxxps://icq.com/windows/ или на свой смартфон найдите «ICQ» в Appstore/Google market.
Пишите в нашу аську @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Скайп
МАКДОНАЛДСДЕБТЖЛОБ РАСШИФРОВКА
4)Почта (пишите только в критических ситуациях т.к. ваше письмо может не дойти или попасть в спам) mcdonaldsdebtzhlob@onionmail.org

В теме письма напишите свой идентификатор расшифровки: -

После расшифровки мы отправим вам расшифрованные файлы и уникальный биткойн-кошелек для оплаты.
После оплаты выкупа за биткойн мы вышлем вам программу расшифровки и инструкции. Если мы сможем расшифровать ваши файлы, у нас нет причин вас обманывать после оплаты.

ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ:
Могу ли я получить скидку?
Нет. Сумма выкупа рассчитывается исходя из количества зашифрованных офисных файлов и скидки не предусмотрены. Все такие сообщения будут автоматически игнорироваться. Если вам действительно нужны только некоторые файлы, заархивируйте их и загрузите куда-нибудь. Мы расшифруем их по цене 1 файл = 1$.
Что такое биткойн?
читать биткойн.орг
Где купить биткойны?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (самый быстрый способ)
купить.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
или используйте google.com, чтобы найти информацию о том, где его купить
Где гарантия, что я получу свои файлы обратно?
Сам факт того, что мы можем расшифровать ваши случайные файлы, является гарантией. Нам нет смысла вас обманывать.
Как быстро я получу ключ и программу расшифровки после оплаты?
Как правило, в течение 15 мин.
Как работает программа расшифровки?
Это просто. Вам нужно запустить наше программное обеспечение. Программа автоматически расшифрует все зашифрованные файлы на вашем жестком диске».