Napodobňovať ransomvér

Výskumníci v oblasti kybernetickej bezpečnosti zverejnili podrobnosti o predtým neznámom kmeni ransomvéru, ktorý využíva API všetkého, vyhľadávací nástroj názvov Windows vyvinutý spoločnosťou Voidtools. Tento ransomvér, sledovaný ako Mimic, bol prvýkrát spozorovaný vo voľnej prírode v júni 2022 a zdá sa, že sa zameriava na rusky aj anglicky hovoriacich používateľov.

Mimic Ransomware je vybavený viacerými funkciami, ako je odstraňovanie tieňových kópií zväzku, ukončenie viacerých aplikácií a služieb a zneužívanie funkcií Everything32.dll na dopytovanie cieľových súborov na šifrovanie. Predpokladá sa, že hrozba bola aspoň čiastočne vyvinutá z Conti Ransomware builder, ktorý unikol v marci 2022. Informácie o hrozbe boli zverejnené v správe, ktorú zverejnili experti z infosec.

Napodobňovať infekčný reťazec ransomvéru

Hrozba Mimic je nasadená na napadnuté zariadenia ako spustiteľný súbor, ktorý následne zahodí viaceré binárne súbory vrátane archívu chráneného heslom maskovaného ako Everything64.dll. Tento archív obsahuje užitočné zaťaženie ransomvéru. Obsahuje tiež nástroje na deaktiváciu programu Windows Defender a legitímne binárne súbory sdel.

Po spustení Mimic Ransomware presunie svoje komponenty do priečinka %Temp%/7zipSfx a rozbalí heslom chránený Everything64.dll do rovnakého adresára pomocou 7za.exe s príkazom: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. Okrem toho do rovnakého adresára presunie súbor kľúča relácie s názvom session.tmp, ktorý sa použije na pokračovanie v šifrovaní v prípade prerušenia procesu.

Potom Mimic Ransomware skopíruje všetky vynechané súbory do '%LocalAppData%{Random GUID}\' predtým, než sa premenuje na 'bestplacetolive.exe' a odstráni pôvodné súbory z %Temp%.

Ohrozujúce schopnosti mimického ransomvéru

Mimic Ransomware využíva viacero vlákien a funkciu CreateThread na rýchle šifrovanie súborov, čo sťažuje výskumníkom v oblasti bezpečnosti analýzu. Má širokú škálu možností, ako je zhromažďovanie systémových informácií, vytváranie perzistencie pomocou klávesu RUN, obchádzanie kontroly používateľských účtov (UAC), zakázanie programu Windows Defender a telemetrie, aktivácia opatrení proti vypnutiu, ukončenie procesov a služieb, zasahovanie do Obnovenie systému a ďalšie.

Na dosiahnutie svojich cieľov v oblasti šifrovania Mimic Ransomware zneužíva Everything32.dll – legitímny nástroj na vyhľadávanie názvov súborov Windows – na vyhľadávanie určitých prípon súborov a názvov súborov na získanie ich ciest, či už na šifrovanie, alebo na ich vylúčenie z procesu šifrovania. Po zašifrovaní cieľových súborov hrozba pripojí k ich menám príponu '.QUIETPLACE'. Hrozba zobrazuje viacero správ požadujúcich výkupné – jednu počas procesu spustenia, jednu ako textový súbor s názvom „Decrypt_me.txt“ a ďalšiu, ktorá sa zobrazí vo vyskakovacom okne na obrazovke zariadenia.

Úplné znenie požiadaviek Mimic Ransomware, ktoré sa nachádza vo vyskakovacom okne a textovom súbore, je:

„Všetky vaše súbory boli zašifrované naším vírusom.
Vaše jedinečné ID:

Môžete si kúpiť úplné dešifrovanie vašich súborov
Pred zaplatením sa však môžete uistiť, že dokážeme skutočne dešifrovať ktorýkoľvek z vašich súborov.
Šifrovací kľúč a ID sú jedinečné pre váš počítač, takže je zaručené, že budete môcť vrátiť svoje súbory.

Robiť to:
1) Pošlite svoje jedinečné ID - a maximálne 3 súbory na testovacie dešifrovanie
NAŠE KONTAKTY
1.1) Posol TOX (rýchly a anonymný)
hxxps://tox.chat/download.html
Nainštalujte qtox
stlačte spievať
vytvorte si vlastné meno
Stlačte plus
Daj tam moje toxikologické ID
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
A pridajte si ma/napíšte správu
1.2) ICQ Messenger
ICQ live chat, ktorý funguje 24/7 - @mcdonaldsdebtzhlob
Nainštalujte softvér ICQ do svojho počítača tu hxxps://icq.com/windows/ alebo na svojom smartfóne vyhľadajte „ICQ“ v obchode Appstore / Google market
Napíšte na naše ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Skype
MCDONALDSDEBTZHLOB DECRYPTION
4) Mail (píšte iba v kritických situáciách, bcs váš e-mail nemusí byť doručený alebo sa dostane do spamu) mcdonaldsdebtzhlob@onionmail.org

Do predmetu napíšte svoje dešifrovacie ID: -

Po dešifrovaní vám pošleme dešifrované súbory a jedinečnú bitcoinovú peňaženku na platbu.
Po zaplatení výkupného za bitcoiny vám pošleme dešifrovací program a pokyny. Ak dokážeme dešifrovať vaše súbory, nemáme dôvod vás po zaplatení klamať.

FAQ:
Môžem získať zľavu?
Nie. Výška výkupného sa vypočítava na základe počtu zašifrovaných kancelárskych súborov a zľavy sa neposkytujú. Všetky takéto správy budú automaticky ignorované. Ak naozaj chcete len niektoré súbory, zazipujte ich a niekam ich nahrajte. Dekódujeme ich za cenu 1 súboru = 1 $.
Čo je to Bitcoin?
čítaj bitcoin.org
Kde kúpiť bitcoiny?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (najrýchlejší spôsob)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
alebo použite google.com na vyhľadanie informácií, kde ho kúpiť
Kde je záruka, že dostanem svoje súbory späť?
Samotná skutočnosť, že dokážeme dešifrovať vaše náhodné súbory, je zárukou. Nemá zmysel, aby sme vás klamali.
Ako rýchlo dostanem kľúč a dešifrovací program po zaplatení?
Spravidla počas 15 min
Ako funguje dešifrovací program?
Je to jednoduché. Musíte spustiť náš softvér. Program automaticky dešifruje všetky zašifrované súbory na vašom HDD.'