Imitoni Ransomware

Studiuesit e sigurisë kibernetike kanë lëshuar detaje rreth një lloji të panjohur më parë ransomware që përfiton nga API-të e Gjithçka, një motor kërkimi i emrave të skedarëve Windows i zhvilluar nga Voidtools. Ky ransomware, i gjurmuar si Mimik, u vu re për herë të parë në natyrë në qershor 2022 dhe duket se synon përdoruesit rusë dhe anglishtfolës.

Mimic Ransomware është i pajisur me aftësi të shumta, si fshirja e Kopjeve të Vëllimit të Shadow, përfundimi i aplikacioneve dhe shërbimeve të shumta dhe abuzimi me funksionet Everything32.dll për të kërkuar enkriptim skedarët e synuar. Kërcënimi besohet të jetë zhvilluar të paktën pjesërisht nga ndërtuesi Conti Ransomware që u zbulua në mars 2022. Informacioni rreth kërcënimit u publikua në një raport të lëshuar nga ekspertët e infosec.

Imitoni zinxhirin e infeksionit të Ransomware

Kërcënimi Mimik vendoset në pajisjet e shkelura si një skedar i ekzekutueshëm që, nga ana tjetër, lëshon binarët e shumtë, duke përfshirë një arkiv të mbrojtur me fjalëkalim të maskuar si Everything64.dll. Ky arkiv përmban ngarkesën e ransomware. Ai përfshin gjithashtu mjete për çaktivizimin e Windows Defender dhe binarët legjitimë sdel.

Kur të ekzekutohet Mimik Ransomware, ai do t'i lëshojë komponentët e tij në dosjen %Temp%/7zipSfx dhe do të nxjerrë Everything64.dll të mbrojtur me fjalëkalim në të njëjtën direktori duke përdorur 7za.exe me komandën: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. Për më tepër, do të lëshojë një skedar çelësi sesioni të quajtur session.tmp në të njëjtën direktori, i cili do të përdoret për të vazhduar enkriptimin në rast ndërprerjeje në proces.

Më pas, Mimik Ransomware do të kopjojë të gjithë skedarët e hequr në '%LocalAppData%{Random GUID}\' përpara se të riemërtohet në 'bestplacetolive.exe' dhe të fshijë skedarët origjinalë nga %Temp%.

Aftësitë kërcënuese të Ransomware-it Mimik

Mimic Ransomware përdor fije të shumta dhe funksionin CreateThread për të enkriptuar shpejt skedarët, duke e bërë të vështirë analizimin e studiuesve të sigurisë. Ka një gamë të gjerë aftësish, të tilla si mbledhja e informacionit të sistemit, krijimi i qëndrueshmërisë nëpërmjet çelësit RUN, anashkalimi i Kontrollit të Llogarisë së Përdoruesit (UAC), çaktivizimi i Windows Defender dhe telemetrisë, aktivizimi i masave kundër mbylljes, përfundimi i proceseve dhe shërbimeve, ndërhyrja në Rimëkëmbja e Sistemit dhe më shumë.

Për të arritur qëllimet e tij të enkriptimit, Mimik Ransomware abuzon me Everything32.dll - një motor kërkimi legjitim i emrave të skedarëve të Windows - për të kërkuar shtesa të caktuara skedarësh dhe emra skedarësh për të marrë shtigjet e tyre, qoftë për kriptim ose për t'i përjashtuar nga procesi i enkriptimit. Pas enkriptimit të skedarëve të synuar, kërcënimi i shton emrave të tyre shtesën '.QUIETPLACE'. Kërcënimi shfaq mesazhe të shumta që kërkojnë shpërblim - një gjatë procesit të fillimit, një si skedar teksti i quajtur 'Decrypt_me.txt' dhe një tjetër që shfaqet në një dritare që shfaqet në ekranin e pajisjes.

Teksti i plotë i kërkesave të Mimik Ransomware që gjendet në dritaren kërcyese dhe skedarin e tekstit është:

'Të gjithë skedarët tuaj janë të koduar me virusin tonë.
ID-ja juaj unike:

Ju mund të blini deshifrimin e plotë të skedarëve tuaj
Por, përpara se të paguani, mund të siguroheni që ne mund të deshifrojmë vërtet cilindo nga skedarët tuaj.
Çelësi i enkriptimit dhe ID-ja janë unike për kompjuterin tuaj, kështu që ju jeni të garantuar se mund t'i ktheni skedarët tuaj.

Për ta bërë këtë:
1) Dërgoni ID-në tuaj unike - dhe maksimumi 3 skedarë për deshifrimin e testit
KONTAKTET TONA
1.1) Lajmëtar TOX (i shpejtë dhe anonim)
hxxps://tox.chat/download.html
Instaloni qtox
shtyp këndoj
krijoni emrin tuaj
Shtypni plus
Vendos aty ID-në time toksike
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
Dhe më shto/shkruaj mesazh
1.2) ICQ Messenger
Biseda e drejtpërdrejtë ICQ e cila funksionon 24/7 - @mcdonaldsdebtzhlob
Instaloni softuerin ICQ në kompjuterin tuaj këtu hxxps://icq.com/windows/ ose në telefonin tuaj inteligjent kërkoni për "ICQ" në Appstore / Tregu i Google
Shkruani në ICQ tonë @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Skype
MCDONALDSDEBTZHLOB DEKRIPIMI
4) Email (shkruani vetëm në situata kritike bcs emaili juaj mund të mos dërgohet ose të futet në postë të padëshiruar) mcdonaldsdebtzhlob@onionmail.org

Në rreshtin e temës, shkruani ID-në tuaj të deshifrimit: -

Pas deshifrimit, ne do t'ju dërgojmë skedarët e deshifruar dhe një portofol unik bitcoin për pagesë.
Pas pagesës së shpërblimit për Bitcoin, ne do t'ju dërgojmë një program deshifrimi dhe udhëzime. Nëse ne mund të deshifrojmë skedarët tuaj, nuk kemi asnjë arsye për t'ju mashtruar pas pagesës.

FAQ:
A mund të marr një zbritje?
Jo. Shuma e shpërblimit llogaritet bazuar në numrin e skedarëve të koduar të zyrës dhe zbritjet nuk ofrohen. Të gjitha mesazhet e tilla do të shpërfillen automatikisht. Nëse vërtet dëshironi vetëm disa nga skedarët, zip ato dhe ngarkojini diku. Ne do t'i deshifrojmë ato për çmimin 1 skedar = 1$.
Çfarë është Bitcoin?
lexoni bitcoin.org
Ku të blini bitcoin?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (mënyra më e shpejtë)
blej.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
ose përdorni google.com për të gjetur informacione se ku mund ta blini atë
Ku është garancia që do t'i marr përsëri dosjet e mia?
Vetë fakti që ne mund të deshifrojmë skedarët tuaj të rastësishëm është një garanci. Nuk ka kuptim që ne t'ju mashtrojmë.
Sa shpejt do të marr çelësin dhe programin e deshifrimit pas pagesës?
Si rregull, për 15 min
Si funksionon programi i deshifrimit?
Është e thjeshtë. Ju duhet të ekzekutoni softuerin tonë. Programi do të deshifrojë automatikisht të gjithë skedarët e enkriptuar në HDD-në tuaj.'