MIRROR Ransomware

Po temeljiti analizi morebitnih groženj zlonamerne programske opreme so raziskovalci dokončno identificirali MIRROR kot različico izsiljevalske programske opreme. Glavni cilj grožnje MIRROR je šifriranje datotek v ogroženih napravah. Poleg tega se loti preimenovanja datotek in izda dve opombi o odkupnini – eno v obliki pojavnega okna in drugo kot besedilno datoteko z imenom 'info-MIRROR.txt.'

Izsiljevalska programska oprema MIRROR uporablja posebno konvencijo o poimenovanju datotek, ki jih šifrira, dodaja ID žrtve, e-poštni naslov »tpyrcedrorrim@tuta.io« in pripono ».Mr«. Tako na primer pretvori »1.pdf« v »1.pdf.id-9ECFA74E.[tpyrcedrorrim@tuta.io].Mr« in »2.png« postane »2.png.id-9ECFA74E.[tpyrcedrorrim@ tuta.io].Mr,' in tako naprej. Ta posebna grožnja je bila kategorizirana kot različica znotraj družine Dharma Ransomware .

Izsiljevalska programska oprema MIRROR presega šifriranje datotek

Poleg šifriranja datotek MIRROR uporablja strateške ukrepe za nadaljnje ogrožanje varnosti ciljnega sistema. Ena taka taktika vključuje onemogočanje požarnega zidu, s čimer se poveča ranljivost sistema za zlonamerne dejavnosti, ki jih orkestrira izsiljevalska programska oprema. Poleg tega MIRROR premišljeno izbriše kopije senčnih nosilcev, s čimer učinkovito odstrani morebitne obnovitvene točke in ovira prizadevanja za obnovitev.

MIRROR izkorišča ranljivosti v storitvah protokola oddaljenega namizja (RDP) kot primarni vektor okužbe. To običajno vključuje izkoriščanje šibkih poverilnic računa z metodami, kot so groba sila in napadi s slovarjem. Z uporabo teh tehnik izsiljevalska programska oprema pridobi nepooblaščen dostop do sistemov, zlasti tistih z neustrezno upravljano varnostjo računa.

Poleg tega ima MIRROR zmožnost pridobivanja lokacijskih podatkov, kar mu omogoča razločevanje geografskega konteksta okuženih sistemov. Predvsem ima možnost izključitve vnaprej določenih lokacij iz obsega ekstrakcije podatkov. Poleg tega MIRROR vključuje mehanizme obstojnosti, ki zagotavljajo, da lahko ohrani oporo znotraj ogroženega sistema v daljšem obdobju.

Žrtve izsiljevalske programske opreme MIRROR so izsiljene za denar

Obvestilo o odkupnini izsiljevalske programske opreme MIRROR služi kot sporočilo napadalcev žrtvi in izrecno navaja, da so bile vse žrtvine datoteke šifrirane. Opisuje potencialno pot za obnovitev datoteke, žrtvi naroči, naj vzpostavi stik prek določenega e-poštnega naslova (tpyrcedrorrim@tuta.io) in zagotovi edinstven identifikator.

Kot alternativno sredstvo komunikacije beležka ponuja tudi drug e-poštni naslov (mirrorrorrim@cock.li). Opomba močno odsvetuje uporabo posrednikov za komunikacijo in navaja možna tveganja, kot so previsoki stroški, neupravičena bremenitev in zavrnitev transakcije. Napadalci trdijo, da so sposobni zagotoviti šifrirane storitve obnovitve podatkov in nudijo jamstva, vključno s predstavitvijo obnovitve, ki vključuje do tri datoteke, da utemeljijo svojo strokovnost.

Poleg tega obvestilo o odkupnini žrtvi izda opozorilo, ki izrecno odsvetuje preimenovanje šifriranih datotek. Prav tako svari pred poskusi dešifriranja s programsko opremo tretjih oseb, pri čemer poudarja morebitne posledice trajne izgube podatkov ali dovzetnosti za prevare. Namen je usmeriti žrtev na najvarnejši način ukrepanja, da bi povečali možnosti za uspešno obnovitev datotek in hkrati zmanjšali možna tveganja.

Sprejmite ukrepe za zaščito vaših naprav pred okužbami z izsiljevalsko programsko opremo

Izsiljevalska programska oprema predstavlja veliko grožnjo varnosti digitalnih naprav z možnimi posledicami, od izgube podatkov do finančnega izsiljevanja. Izvajanje proaktivnih ukrepov je ključnega pomena za krepitev naprav pred takšnimi okužbami. Tu je pet učinkovitih korakov, ki jih lahko uporabniki naredijo:

• Redno posodabljajte operacijske sisteme in programsko opremo : Posodabljanje operacijskih sistemov in programske opreme je bistvenega pomena, saj posodobitve pogosto vključujejo varnostne popravke, ki odpravljajo ranljivosti. Redno preverjajte in uporabljajte posodobitve, da zmanjšate tveganje izsiljevalske programske opreme, ki izkorišča znane slabosti.
• Namestitev in vzdrževanje varnostne programske opreme : uporaba zanesljive varnostne programske opreme zagotavlja dodatno plast obrambe pred izsiljevalsko programsko opremo. Zagotovite, da se program proti zlonamerni programski opremi redno posodablja in opravite načrtovana skeniranja, da odkrijete in odpravite morebitne grožnje, preden lahko ogrozijo vašo napravo.
• Bodite previdni pri e-poštnih prilogah in povezavah : izsiljevalska programska oprema se pogosto infiltrira v sisteme prek lažnih e-poštnih sporočil, ki vsebujejo zlonamerne priloge ali povezave. Bodite zelo previdni pri odpiranju e-poštnih sporočil neznanih pošiljateljev, poskusite ne klikati na sumljive povezave in se vzdržite prenosa prilog, razen če je njihova zakonitost preverjena.
• Redno varnostno kopiranje podatkov : Ustvarjanje rednih varnostnih kopij bistvenih podatkov je pomemben preventivni ukrep. Pri napadu z izsiljevalsko programsko opremo nedavne varnostne kopije omogočajo uporabnikom, da obnovijo svoje datoteke, ne da bi podlegli izsiljevanju. Shranite varnostne kopije v zunanjo napravo ali varno storitev v oblaku.
• Izvedite varnostne ukrepe omrežja : Krepitev varnosti omrežja lahko prepreči napade izsiljevalske programske opreme. Uporabite požarne zidove in sisteme za zaznavanje/preprečevanje vdorov, uporabite edinstvena in močna gesla za vse naprave in račune ter razmislite o segmentaciji omrežij, da omejite potencialni vpliv okužbe na celoten sistem.

S sprejetjem teh ukrepov lahko uporabniki znatno povečajo odpornost svojih naprav proti izsiljevalski programski opremi, zaščitijo svoje dragocene podatke in ohranijo celovitost svojega digitalnega okolja.

Celotno besedilo glavne opombe o odkupnini, ki jo je pustila izsiljevalska programska oprema MIRROR, je:

'MIRROR
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: tpyrcedrorrim@tuta.io YOUR ID 9ECFA84E
If you have not answered by mail within 12 hours, write to us by another mail:mirrorrorrim@cock.li
We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.
-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.
Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Besedilna datoteka, ki jo je izpustila izsiljevalska programska oprema MIRROR, vsebuje naslednje sporočilo:

'vsi vaši podatki so bili zaklenjeni

Se želite vrniti?

pišite na e-pošto tpyrcedrorrim@tuta.io ali mirrorrorrim@cock.li'