Imitoni Ransomware
Karta e rezultateve të kërcënimit
EnigmaSoft Threat Scorecard
Kartat e rezultateve të kërcënimit EnigmaSoft janë raporte vlerësimi për kërcënime të ndryshme malware, të cilat janë mbledhur dhe analizuar nga ekipi ynë i kërkimit. Kartat e rezultateve të EnigmaSoft Threat vlerësojnë dhe renditin kërcënimet duke përdorur disa metrika, duke përfshirë faktorët e rrezikut të botës reale dhe të mundshme, tendencat, shpeshtësinë, prevalencën dhe qëndrueshmërinë. Kartat e rezultateve të EnigmaSoft Threat përditësohen rregullisht bazuar në të dhënat dhe metrikat tona të kërkimit dhe janë të dobishme për një gamë të gjerë përdoruesish kompjuterësh, nga përdoruesit fundorë që kërkojnë zgjidhje për të hequr malware nga sistemet e tyre deri tek ekspertët e sigurisë që analizojnë kërcënimet.
Kartat e rezultateve të EnigmaSoft Threat shfaqin një sërë informacionesh të dobishme, duke përfshirë:
Renditja: Renditja e një kërcënimi të veçantë në bazën e të dhënave të kërcënimeve të EnigmaSoft.
Niveli i ashpërsisë: Niveli i përcaktuar i ashpërsisë së një objekti, i përfaqësuar numerikisht, bazuar në procesin dhe kërkimin tonë të modelimit të rrezikut, siç shpjegohet në Kriteret tona të Vlerësimit të Kërcënimit .
Kompjuterët e infektuar: Numri i rasteve të konfirmuara dhe të dyshuara të një kërcënimi të veçantë të zbuluar në kompjuterët e infektuar siç raportohet nga SpyHunter.
Shihni gjithashtu Kriteret e Vlerësimit të Kërcënimit .
Niveli i Kërcënimit: | 100 % (Lartë) |
Kompjuterët e infektuar: | 2 |
Parë për herë të parë: | February 8, 2023 |
Parë për herë të fundit: | March 1, 2023 |
OS/OS të prekura: | Windows |
Studiuesit e sigurisë kibernetike kanë lëshuar detaje rreth një lloji të panjohur më parë ransomware që përfiton nga API-të e Gjithçka, një motor kërkimi i emrave të skedarëve Windows i zhvilluar nga Voidtools. Ky ransomware, i gjurmuar si Mimik, u vu re për herë të parë në natyrë në qershor 2022 dhe duket se synon përdoruesit rusë dhe anglishtfolës.
Mimic Ransomware është i pajisur me aftësi të shumta, si fshirja e Kopjeve të Vëllimit të Shadow, përfundimi i aplikacioneve dhe shërbimeve të shumta dhe abuzimi me funksionet Everything32.dll për të kërkuar enkriptim skedarët e synuar. Kërcënimi besohet të jetë zhvilluar të paktën pjesërisht nga ndërtuesi Conti Ransomware që u zbulua në mars 2022. Informacioni rreth kërcënimit u publikua në një raport të lëshuar nga ekspertët e infosec.
Tabela e Përmbajtjes
Imitoni zinxhirin e infeksionit të Ransomware
Kërcënimi Mimik vendoset në pajisjet e shkelura si një skedar i ekzekutueshëm që, nga ana tjetër, lëshon binarët e shumtë, duke përfshirë një arkiv të mbrojtur me fjalëkalim të maskuar si Everything64.dll. Ky arkiv përmban ngarkesën e ransomware. Ai përfshin gjithashtu mjete për çaktivizimin e Windows Defender dhe binarët legjitimë sdel.
Kur të ekzekutohet Mimik Ransomware, ai do t'i lëshojë komponentët e tij në dosjen %Temp%/7zipSfx dhe do të nxjerrë Everything64.dll të mbrojtur me fjalëkalim në të njëjtën direktori duke përdorur 7za.exe me komandën: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. Për më tepër, do të lëshojë një skedar çelësi sesioni të quajtur session.tmp në të njëjtën direktori, i cili do të përdoret për të vazhduar enkriptimin në rast ndërprerjeje në proces.
Më pas, Mimik Ransomware do të kopjojë të gjithë skedarët e hequr në '%LocalAppData%{Random GUID}\' përpara se të riemërtohet në 'bestplacetolive.exe' dhe të fshijë skedarët origjinalë nga %Temp%.
Aftësitë kërcënuese të Ransomware-it Mimik
Mimic Ransomware përdor fije të shumta dhe funksionin CreateThread për të enkriptuar shpejt skedarët, duke e bërë të vështirë analizimin e studiuesve të sigurisë. Ka një gamë të gjerë aftësish, të tilla si mbledhja e informacionit të sistemit, krijimi i qëndrueshmërisë nëpërmjet çelësit RUN, anashkalimi i Kontrollit të Llogarisë së Përdoruesit (UAC), çaktivizimi i Windows Defender dhe telemetrisë, aktivizimi i masave kundër mbylljes, përfundimi i proceseve dhe shërbimeve, ndërhyrja në Rimëkëmbja e Sistemit dhe më shumë.
Për të arritur qëllimet e tij të enkriptimit, Mimik Ransomware abuzon me Everything32.dll - një motor kërkimi legjitim i emrave të skedarëve të Windows - për të kërkuar shtesa të caktuara skedarësh dhe emra skedarësh për të marrë shtigjet e tyre, qoftë për kriptim ose për t'i përjashtuar nga procesi i enkriptimit. Pas enkriptimit të skedarëve të synuar, kërcënimi i shton emrave të tyre shtesën '.QUIETPLACE'. Kërcënimi shfaq mesazhe të shumta që kërkojnë shpërblim - një gjatë procesit të fillimit, një si skedar teksti i quajtur 'Decrypt_me.txt' dhe një tjetër që shfaqet në një dritare që shfaqet në ekranin e pajisjes.
Teksti i plotë i kërkesave të Mimik Ransomware që gjendet në dritaren kërcyese dhe skedarin e tekstit është:
'Të gjithë skedarët tuaj janë të koduar me virusin tonë.
ID-ja juaj unike:Ju mund të blini deshifrimin e plotë të skedarëve tuaj
Por, përpara se të paguani, mund të siguroheni që ne mund të deshifrojmë vërtet cilindo nga skedarët tuaj.
Çelësi i enkriptimit dhe ID-ja janë unike për kompjuterin tuaj, kështu që ju jeni të garantuar se mund t'i ktheni skedarët tuaj.Për ta bërë këtë:
1) Dërgoni ID-në tuaj unike - dhe maksimumi 3 skedarë për deshifrimin e testit
KONTAKTET TONA
1.1) Lajmëtar TOX (i shpejtë dhe anonim)
hxxps://tox.chat/download.html
Instaloni qtox
shtyp këndoj
krijoni emrin tuaj
Shtypni plus
Vendos aty ID-në time toksike
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
Dhe më shto/shkruaj mesazh
1.2) ICQ Messenger
Biseda e drejtpërdrejtë ICQ e cila funksionon 24/7 - @mcdonaldsdebtzhlob
Instaloni softuerin ICQ në kompjuterin tuaj këtu hxxps://icq.com/windows/ ose në telefonin tuaj inteligjent kërkoni për "ICQ" në Appstore / Tregu i Google
Shkruani në ICQ tonë @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Skype
MCDONALDSDEBTZHLOB DEKRIPIMI
4) Email (shkruani vetëm në situata kritike bcs emaili juaj mund të mos dërgohet ose të futet në postë të padëshiruar) mcdonaldsdebtzhlob@onionmail.orgNë rreshtin e temës, shkruani ID-në tuaj të deshifrimit: -
Pas deshifrimit, ne do t'ju dërgojmë skedarët e deshifruar dhe një portofol unik bitcoin për pagesë.
Pas pagesës së shpërblimit për Bitcoin, ne do t'ju dërgojmë një program deshifrimi dhe udhëzime. Nëse ne mund të deshifrojmë skedarët tuaj, nuk kemi asnjë arsye për t'ju mashtruar pas pagesës.FAQ:
A mund të marr një zbritje?
Jo. Shuma e shpërblimit llogaritet bazuar në numrin e skedarëve të koduar të zyrës dhe zbritjet nuk ofrohen. Të gjitha mesazhet e tilla do të shpërfillen automatikisht. Nëse vërtet dëshironi vetëm disa nga skedarët, zip ato dhe ngarkojini diku. Ne do t'i deshifrojmë ato për çmimin 1 skedar = 1$.
Çfarë është Bitcoin?
lexoni bitcoin.org
Ku të blini bitcoin?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (mënyra më e shpejtë)
blej.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
ose përdorni google.com për të gjetur informacione se ku mund ta blini atë
Ku është garancia që do t'i marr përsëri dosjet e mia?
Vetë fakti që ne mund të deshifrojmë skedarët tuaj të rastësishëm është një garanci. Nuk ka kuptim që ne t'ju mashtrojmë.
Sa shpejt do të marr çelësin dhe programin e deshifrimit pas pagesës?
Si rregull, për 15 min
Si funksionon programi i deshifrimit?
Është e thjeshtë. Ju duhet të ekzekutoni softuerin tonë. Programi do të deshifrojë automatikisht të gjithë skedarët e enkriptuar në HDD-në tuaj.'
Detajet e sistemit të skedarit
# | Emri i skedarit | MD5 |
Zbulimet
Zbulimet: Numri i rasteve të konfirmuara dhe të dyshuara të një kërcënimi të veçantë të zbuluar në kompjuterë të infektuar siç raportohet nga SpyHunter.
|
---|---|---|---|
1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |