ЗЕРКАЛО-вымогатель

Тщательно проанализировав потенциальные угрозы вредоносного ПО, исследователи окончательно определили MIRROR как вариант программы-вымогателя. Основная цель угрозы MIRROR — шифрование файлов, находящихся на взломанных устройствах. Кроме того, он переименовывает файлы и выдает две записки с требованием выкупа — одну в виде всплывающего окна, а другую в виде текстового файла с именем «info-MIRROR.txt».

Программа-вымогатель MIRROR использует особое соглашение об именах для файлов, которые она шифрует, добавляя идентификатор жертвы, адрес электронной почты «tpyrcedrorrim@tuta.io» и расширение «.Mr». Например, он преобразует «1.pdf» в «1.pdf.id-9ECFA74E.[tpyrcedrorrim@tuta.io].Mr», а «2.png» становится «2.png.id-9ECFA74E.[tpyrcedrorrim@». tuta.io].Мистер» и так далее. Эта конкретная угроза была отнесена к категории разновидностей семейства Dharma Ransomware .

Программа-вымогатель MIRROR выходит за рамки шифрования файлов

Помимо шифрования файлов, MIRROR использует стратегические меры для дальнейшего компрометации безопасности целевой системы. Одна из таких тактик предполагает отключение брандмауэра, тем самым повышая уязвимость системы к вредоносным действиям, организованным программой-вымогателем. Кроме того, MIRROR предпринимает целенаправленные действия по удалению теневых копий томов, эффективно устраняя потенциальные точки восстановления и препятствуя усилиям по восстановлению.

MIRROR использует уязвимости в службах протокола удаленного рабочего стола (RDP) как основной вектор заражения. Обычно это предполагает использование слабых учетных данных с помощью таких методов, как перебор и атаки по словарю. Используя эти методы, программы-вымогатели получают несанкционированный доступ к системам, особенно к системам с недостаточно управляемой безопасностью учетных записей.

Кроме того, MIRROR демонстрирует возможность извлекать данные о местоположении, что позволяет ему определять географический контекст зараженных систем. Примечательно, что он обладает возможностью исключать заранее определенные местоположения из области извлечения данных. Кроме того, MIRROR включает в себя механизмы персистентности, гарантирующие, что он сможет удерживать точку опоры в скомпрометированной системе в течение длительного периода.

У жертв программы-вымогателя MIRROR вымогают деньги

Записка о выкупе от программы-вымогателя MIRROR служит сообщением злоумышленников жертве, в котором прямо указывается, что все файлы жертвы были зашифрованы. В нем описывается потенциальный путь восстановления файлов, предлагая жертве инициировать контакт через указанный адрес электронной почты (tpyrcedrorrim@tuta.io) и предоставляя уникальный идентификатор.

В качестве альтернативного средства связи в примечании также указывается другой адрес электронной почты (mirrorrorrim@cock.li). Примечательно, что в примечании настоятельно не рекомендуется использовать посредников для связи, ссылаясь на потенциальные риски, такие как завышение цен, необоснованное дебетование и отклонение транзакции. Злоумышленники заявляют о своей способности предоставлять услуги по восстановлению зашифрованных данных и предлагают гарантии, включая демонстрацию восстановления с использованием до трех файлов для подтверждения своей квалификации.

Более того, в записке о выкупе жертве содержится предостережение, в котором явно не рекомендуется переименовывать зашифрованные файлы. Он также предостерегает от попыток расшифровки с помощью стороннего программного обеспечения, подчеркивая потенциальные последствия безвозвратной потери данных или подверженности мошенничеству. Цель состоит в том, чтобы подсказать жертве наиболее безопасный курс действий, чтобы максимизировать шансы на успешное восстановление файлов и минимизировать потенциальные риски.

Примите меры для защиты ваших устройств от заражения программами-вымогателями

Программы-вымогатели представляют значительную угрозу безопасности цифровых устройств, потенциальные последствия которых варьируются от потери данных до финансового вымогательства. Реализация превентивных мер имеет решающее значение для защиты устройств от таких инфекций. Вот пять эффективных шагов, которые могут предпринять пользователи:

• Регулярно обновляйте операционные системы и программное обеспечение . Поддержание актуальности операционных систем и программного обеспечения имеет жизненно важное значение, поскольку обновления часто включают исправления безопасности, устраняющие уязвимости. Регулярно проверяйте наличие обновлений и применяйте их, чтобы снизить риск использования известных уязвимостей программами-вымогателями.
• Установите и поддерживайте программное обеспечение безопасности . Использование надежного программного обеспечения безопасности обеспечивает дополнительный уровень защиты от программ-вымогателей. Убедитесь, что программа защиты от вредоносных программ регулярно обновляется, и проводите плановые проверки для обнаружения и устранения потенциальных угроз, прежде чем они смогут поставить под угрозу ваше устройство.
• Будьте осторожны с вложениями и ссылками электронной почты . Программы-вымогатели часто проникают в системы через фишинговые электронные письма, содержащие вредоносные вложения или ссылки. Будьте очень осторожны при открытии писем от неизвестных отправителей, старайтесь не нажимать на подозрительные ссылки и воздерживайтесь от загрузки вложений, пока их легитимность не проверена.
• Регулярное резервное копирование данных . Создание регулярных резервных копий важных данных является важной профилактической мерой. В случае атаки программы-вымогателя недавние резервные копии позволяют пользователям восстанавливать свои файлы, не подвергаясь вымогательству. Храните резервные копии на внешнем устройстве или в безопасном облачном сервисе.
• Внедрите меры сетевой безопасности . Усиление сетевой безопасности может предотвратить атаки программ-вымогателей. Используйте межсетевые экраны и системы обнаружения/предотвращения вторжений, применяйте уникальные и надежные пароли для всех устройств и учетных записей, а также рассмотрите возможность сегментирования сетей, чтобы ограничить потенциальное воздействие заражения на всю систему.

Приняв эти меры, пользователи могут значительно повысить устойчивость своих устройств к программам-вымогателям, защитив свои ценные данные и поддерживая целостность своей цифровой среды.

Полный текст основной записки о выкупе, оставленной MIRROR Ransomware:

'MIRROR
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: tpyrcedrorrim@tuta.io YOUR ID 9ECFA84E
If you have not answered by mail within 12 hours, write to us by another mail:mirrorrorrim@cock.li
We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.
-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.
Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Текстовый файл, загруженный программой-вымогателем MIRROR, содержит следующее сообщение:

'все ваши данные заблокированы нами

Вы хотите вернуться?

напишите электронное письмо tpyrcedrorrim@tuta.io или Mirrorrorrim@cock.li'