Mimic Ransomware
Bonitetna ocena
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards so poročila o oceni različnih groženj zlonamerne programske opreme, ki jih je zbrala in analizirala naša raziskovalna skupina. EnigmaSoft Threat Scorecards ocenjujejo in razvrščajo grožnje z uporabo več meritev, vključno z dejavniki tveganja iz resničnega sveta in potencialnimi dejavniki tveganja, trendi, pogostostjo, razširjenostjo in obstojnostjo. EnigmaSoft Threat Scorecards se redno posodabljajo na podlagi naših raziskovalnih podatkov in meritev ter so uporabni za širok krog uporabnikov računalnikov, od končnih uporabnikov, ki iščejo rešitve za odstranitev zlonamerne programske opreme iz svojih sistemov, do varnostnih strokovnjakov, ki analizirajo grožnje.
EnigmaSoft Threat Scorecards prikazuje vrsto uporabnih informacij, vključno z:
Razvrstitev: Razvrstitev določene grožnje v zbirki podatkov o grožnjah EnigmaSoft.
Stopnja resnosti: določena stopnja resnosti predmeta, predstavljena številčno na podlagi našega procesa modeliranja tveganja in raziskav, kot je razloženo v naših Merilih za oceno groženj .
Okuženi računalniki: število potrjenih in domnevnih primerov določene grožnje, odkrite na okuženih računalnikih, kot poroča SpyHunter.
Glejte tudi Merila za oceno nevarnosti .
Stopnja nevarnosti: | 100 % (Visoko) |
Okuženi računalniki: | 2 |
Prvič viden: | February 8, 2023 |
Nazadnje viden: | March 1, 2023 |
Zadeti OS: | Windows |
Raziskovalci kibernetske varnosti so objavili podrobnosti o prej neznanem sevu izsiljevalske programske opreme, ki izkorišča prednosti API-jev Everything, iskalnika imen datotek Windows, ki ga je razvil Voidtools. Ta izsiljevalska programska oprema, označena kot Mimic, je bila prvič opažena v naravi junija 2022 in zdi se, da cilja tako na rusko kot angleško govoreče uporabnike.
Mimic Ransomware je opremljen z več zmožnostmi, kot je brisanje kopij senčnih nosilcev, prekinitev več aplikacij in storitev ter zloraba funkcij Everything32.dll za poizvedovanje ciljnih datotek za šifriranje. Grožnja naj bi bila vsaj delno razvita iz graditelja Conti Ransomware , ki je pricurljal marca 2022. Informacije o grožnji so bile objavljene v poročilu, ki so ga objavili strokovnjaki za infosec.
Kazalo
Posnema verigo okužbe z izsiljevalsko programsko opremo
Grožnja Mimic je nameščena na napravah, v katerih je prišlo do vdora, kot izvršljiva datoteka, ki nato odvrže več binarnih datotek, vključno z arhivom, zaščitenim z geslom, prikritim kot Everything64.dll. Ta arhiv vsebuje obremenitev izsiljevalske programske opreme. Vključuje tudi orodja za onemogočanje programa Windows Defender in legitimnih binarnih datotek sdel.
Ko se zažene Mimic Ransomware, bo spustila svoje komponente v mapo %Temp%/7zipSfx in ekstrahirala z geslom zaščiteno datoteko Everything64.dll v isti imenik z uporabo 7za.exe z ukazom: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. Poleg tega bo v isti imenik spustil datoteko s ključem seje, imenovano session.tmp, ki bo uporabljena za nadaljevanje šifriranja v primeru prekinitve postopka.
Nato bo Mimic Ransomware kopirala vse izpuščene datoteke v »%LocalAppData%{Random GUID}\«, preden se bo preimenovala v »bestplacetolive.exe« in izbrisala izvirne datoteke iz %Temp%.
Nevarne zmožnosti mimične izsiljevalske programske opreme
Mimic Ransomware uporablja več niti in funkcijo CreateThread za hitro šifriranje datotek, kar varnostnim raziskovalcem otežuje analizo. Ima široko paleto zmožnosti, kot je zbiranje informacij o sistemu, ustvarjanje obstojnosti prek tipke RUN, obidenje nadzora uporabniškega računa (UAC), onemogočanje programa Windows Defender in telemetrije, aktiviranje ukrepov proti zaustavitvi, prekinitev procesov in storitev, motenje obnovitev sistema in več.
Da bi dosegla svoje cilje šifriranja, izsiljevalska programska oprema Mimic zlorablja Everything32.dll – zakonit iskalnik imen datotek Windows – za poizvedovanje po določenih končnicah datotek in imenih datotek za pridobitev njihovih poti, bodisi za šifriranje bodisi za izključitev iz procesa šifriranja. Po šifriranju ciljnih datotek grožnja njihovim imenom doda pripono '.QUIETPLACE'. Grožnja prikaže več sporočil, ki zahtevajo odkupnino – eno med postopkom zagona, eno kot besedilno datoteko z imenom »Decrypt_me.txt« in drugo, ki je prikazano v pojavnem oknu na zaslonu naprave.
Celotno besedilo zahtev Mimic Ransomware v pojavnem oknu in besedilni datoteki je:
»Vse vaše datoteke so bile šifrirane z našim virusom.
Vaš edinstven ID:Kupite lahko popolno dešifriranje vaših datotek
Toda preden plačate, se lahko prepričate, da lahko res dešifriramo katero koli vašo datoteko.
Šifrirni ključ in ID sta edinstvena za vaš računalnik, zato je zagotovljeno, da lahko vrnete svoje datoteke.Storiti to:
1) Pošljite svoj edinstveni ID - in največ 3 datoteke za testno dešifriranje
NAŠI KONTAKTI
1.1) Messenger TOX (hiter in anonimen)
hxxps://tox.chat/download.html
Namestite qtox
pritisnite zapoj
ustvarite svoje ime
Pritisnite plus
Vnesite moj tox ID
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
In dodaj me/napiši sporočilo
1.2) ICQ Messenger
ICQ klepet v živo, ki deluje 24/7 - @mcdonaldsdebtzhlob
Namestite programsko opremo ICQ na svoj računalnik tukaj hxxps://icq.com/windows/ ali v pametnem telefonu poiščite »ICQ« v Appstore/Google market
Pišite na naš ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Skype
MCDONALDSDEBTZHLOB DEŠIFRIRANJE
4)Pošta (pišite le v kritičnih situacijah, ker vaša e-pošta morda ne bo dostavljena ali pa pride med vsiljeno pošto) mcdonaldsdebtzhlob@onionmail.orgV zadevo vpišite svoj ID za dešifriranje: -
Po dešifriranju vam bomo poslali dešifrirane datoteke in edinstveno bitcoin denarnico za plačilo.
Po plačilu odkupnine za Bitcoin vam bomo poslali program za dešifriranje in navodila. Če lahko dešifriramo vaše datoteke, nimamo razloga, da bi vas prevarali po plačilu.pogosta vprašanja:
Ali lahko dobim popust?
Ne. Znesek odkupnine se izračuna na podlagi števila šifriranih pisarniških datotek in popusti niso zagotovljeni. Vsa taka sporočila bodo samodejno prezrta. Če res želite samo nekatere datoteke, jih stisnite in nekam naložite. Dekodirali jih bomo za ceno 1 datoteke = 1$.
Kaj je Bitcoin?
preberite bitcoin.org
Kje kupiti bitcoine?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (najhitrejši način)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
ali uporabite google.com, da poiščete informacije, kje ga kupiti
Kje je jamstvo, da bom svoje datoteke prejel nazaj?
Že dejstvo, da lahko dešifriramo vaše naključne datoteke, je garancija. Nima smisla, da vas zavajamo.
Kako hitro po plačilu prejmem ključ in program za dešifriranje?
Praviloma v 15 min
Kako deluje program za dešifriranje?
Enostavno je. Zagnati morate našo programsko opremo. Program bo samodejno dešifriral vse šifrirane datoteke na vašem trdem disku.'
Podrobnosti o datotečnem sistemu
# | Ime datoteke | MD5 |
Zaznave
Zaznave: število potrjenih in domnevnih primerov določene grožnje, odkritih na okuženih računalnikih, kot poroča SpyHunter.
|
---|---|---|---|
1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |