MIRROR Ransomware

Po dôkladnej analýze potenciálnych malvérových hrozieb výskumníci presvedčivo identifikovali MIRROR ako variant ransomvéru. Primárnym cieľom hrozby MIRROR je šifrovanie súborov na napadnutých zariadeniach. Okrem toho vykoná premenovanie súborov a vydá dve výkupné – jednu vo forme kontextového okna a druhú ako textový súbor s názvom „info-MIRROR.txt“.

MIRROR Ransomware využíva špecifickú konvenciu pomenovania pre súbory, ktoré šifruje, pričom k nim pripája ID obete, e-mailovú adresu 'tpyrcedorrim@tuta.io' a príponu '.Mr'. Napríklad transformuje „1.pdf“ na „1.pdf.id-9ECFA74E.[tpyrcedorrim@tuta.io].Mr“ a „2.png“ sa zmení na „2.png.id-9ECFA74E.[tpyrcedorrim@ tuta.io].Pán“ a tak ďalej. Táto konkrétna hrozba bola kategorizovaná ako variant v rámci rodiny Dharma Ransomware .

MIRROR Ransomware ide nad rámec šifrovania súborov

Okrem šifrovania súborov využíva MIRROR strategické opatrenia na ďalšie ohrozenie bezpečnosti cieľového systému. Jednou z takýchto taktík je deaktivácia brány firewall, čím sa zvýši zraniteľnosť systému voči škodlivým aktivitám organizovaným ransomvérom. Okrem toho MIRROR podniká zámerné kroky na vymazanie tieňových kópií zväzku, čím účinne eliminuje potenciálne body obnovenia a bráni snahám o obnovu.

MIRROR využíva slabé miesta v rámci služieb protokolu RDP (Remote Desktop Protocol) ako primárny vektor infekcie. Zvyčajne to zahŕňa využívanie slabých poverení účtu prostredníctvom metód, ako je hrubá sila a slovníkové útoky. Využitím týchto techník získava ransomvér neoprávnený prístup k systémom, najmä k systémom s nedostatočne spravovaným zabezpečením účtu.

Okrem toho MIRROR vykazuje schopnosť extrahovať údaje o polohe, čo mu umožňuje rozlíšiť geografický kontext infikovaných systémov. Predovšetkým má schopnosť vylúčiť vopred určené miesta z rozsahu extrakcie údajov. Okrem toho MIRROR obsahuje mechanizmy perzistencie, ktoré zaisťujú, že dokáže udržať oporu v napadnutom systéme počas dlhšieho obdobia.

Obete MIRROR Ransomware sú vydierané za peniaze

Výkupná poznámka MIRROR Ransomware slúži ako komunikácia medzi útočníkmi a obeťou, v ktorej sa výslovne uvádza, že všetky súbory obete boli zašifrované. Načrtáva potenciálny spôsob obnovenia súboru, inštruuje obeť, aby nadviazala kontakt prostredníctvom zadanej e-mailovej adresy (tpyrcedorrim@tuta.io) a poskytuje jedinečný identifikátor.

Ako alternatívny spôsob komunikácie je v poznámke uvedená aj iná e-mailová adresa (mirrorrorrim@cock.li). Predovšetkým poznámka dôrazne odrádza od využívania sprostredkovateľov na komunikáciu, pričom uvádza potenciálne riziká, ako je predraženie, neodôvodnený debet a odmietnutie transakcie. Útočníci presadzujú svoju schopnosť poskytovať šifrované služby obnovy dát a ponúkajú záruky vrátane demonštrácie obnovy zahŕňajúcej až tri súbory na potvrdenie ich odbornosti.

Výkupné navyše vydáva varovné upozornenie pre obeť, v ktorom sa výslovne odporúča premenovať zašifrované súbory. Varuje tiež pred pokusmi o dešifrovanie prostredníctvom softvéru tretích strán, pričom zdôrazňuje potenciálne dôsledky trvalej straty údajov alebo náchylnosti na podvody. Zámerom je viesť obeť k najbezpečnejšiemu postupu, aby sa maximalizovali šance na úspešné obnovenie súboru a zároveň sa minimalizovali potenciálne riziká.

Prijmite opatrenia na posilnenie svojich zariadení proti ransomvérovým infekciám

Ransomvér predstavuje významnú hrozbu pre bezpečnosť digitálnych zariadení s možnými následkami od straty údajov až po finančné vydieranie. Implementácia proaktívnych opatrení je rozhodujúca na posilnenie zariadení proti takýmto infekciám. Tu je päť účinných krokov, ktoré môžu používatelia urobiť:

• Pravidelne aktualizujte operačné systémy a softvér : Udržiavanie aktuálnych operačných systémov a softvéru je životne dôležité, pretože aktualizácie často obsahujú bezpečnostné záplaty, ktoré riešia slabé miesta. Pravidelne kontrolujte a používajte aktualizácie, aby ste znížili riziko, že ransomvér zneužije známe slabé stránky.
• Inštalácia a údržba bezpečnostného softvéru : Používanie dôveryhodného bezpečnostného softvéru poskytuje ďalšiu vrstvu ochrany proti ransomvéru. Zaistite, aby bol antimalvérový program pravidelne aktualizovaný a vykonávajte plánované kontroly na zistenie a odstránenie potenciálnych hrozieb skôr, ako môžu ohroziť vaše zariadenie.
• Buďte opatrní s e-mailovými prílohami a odkazmi : Ransomware často infiltruje systémy prostredníctvom phishingových e-mailov obsahujúcich škodlivé prílohy alebo odkazy. Buďte veľmi opatrní pri otváraní e-mailov od neznámych odosielateľov, snažte sa neklikať na podozrivé odkazy a zdržte sa sťahovania príloh, pokiaľ nie je overená ich oprávnenosť.
• Pravidelné zálohovanie údajov : Vytváranie pravidelných záloh základných údajov je kritickým preventívnym opatrením. V prípade ransomvérového útoku umožňujú nedávne zálohy používateľom obnoviť svoje súbory bez toho, aby podľahli vydieraniu. Ukladajte zálohy na externé zariadenie alebo zabezpečenú cloudovú službu.
• Implementujte opatrenia zabezpečenia siete : Posilnenie zabezpečenia siete môže zabrániť útokom ransomvéru. Využite brány firewall a systémy detekcie/prevencie narušenia, používajte jedinečné a silné heslá pre všetky zariadenia a účty a zvážte segmentáciu sietí, aby ste obmedzili potenciálny vplyv infekcie na celý systém.

Prijatím týchto opatrení môžu používatelia výrazne zvýšiť odolnosť svojich zariadení proti ransomvéru, ochrániť svoje cenné dáta a zachovať integritu svojho digitálneho prostredia.

Úplný text hlavnej poznámky o výkupnom, ktorú zanechal MIRROR Ransomware, je:

'MIRROR
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: tpyrcedrorrim@tuta.io YOUR ID 9ECFA84E
If you have not answered by mail within 12 hours, write to us by another mail:mirrorrorrim@cock.li
We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.
-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.
Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Textový súbor vynechaný MIRROR Ransomware obsahuje nasledujúcu správu:

'všetky vaše údaje boli zamknuté

Chcete sa vrátiť?

napíšte e-mail tpyrcedorrim@tuta.io alebo mirrorrorrim@cock.li'