Мимиц Рансомваре

Истраживачи сајбер безбедности објавили су детаље о раније непознатом соју рансомвера који користи предности АПИ-ја Еверитхинг, Виндовс претраживача имена датотека који је развио Воидтоолс. Овај рансомваре, праћен као Мимиц, први пут је примећен у дивљини у јуну 2022. и чини се да циља и руске и енглеске кориснике.

Мимиц Рансомваре је опремљен са вишеструким могућностима, као што је брисање копија Схадов Волуме, укидање више апликација и услуга и злоупотреба функција Еверитхинг32.длл за испитивање циљних датотека за шифровање. Верује се да је претња барем делимично развијена из Цонти Рансомваре буилдера који је процурио још у марту 2022. Информације о претњи објављене су у извештају који су објавили стручњаци Инфосец.

Имитирајте ланац заразе Рансомваре-а

Претња Мимиц се примењује на оштећеним уређајима као извршна датотека која, заузврат, испушта више бинарних датотека, укључујући архиву заштићену лозинком прерушену у Еверитхинг64.длл. Ова архива садржи садржај рансомваре-а. Такође укључује алате за онемогућавање Виндовс Дефендер-а и легитимне сдел бинарне датотеке.

Када се Мимиц Рансомваре изврши, он ће испустити своје компоненте у фасциклу %Темп%/7зипСфк и издвојити све64.длл заштићену лозинком у исти директоријум користећи 7за.еке са командом: %Темп%\7ЗипСфк.000\7за .еке" к -и -п20475326413135730160 Еверитхинг64.длл. Поред тога, испустиће датотеку кључа сесије под називом сессион.тмп у исти директоријум, који ће се користити за наставак шифровања у случају прекида у процесу.

Након тога, Мимиц Рансомваре ће копирати све испуштене датотеке у '%ЛоцалАппДата%{Рандом ГУИД}\' пре него што се преименује у 'бестплацетоливе.еке' и избрише оригиналне датотеке са %Темп%.

Претеће могућности Мимиц Рансомваре-а

Мимиц Рансомваре користи више нити и функцију ЦреатеТхреад за брзо шифровање датотека, што отежава анализу безбедносних истраживача. Има широк спектар могућности, као што је прикупљање системских информација, стварање постојаности преко РУН кључа, заобилажење контроле корисничког налога (УАЦ), онемогућавање Виндовс заштитника и телеметрије, активирање мера против гашења, прекид процеса и услуга, ометање Опоравак система и још много тога.

Да би постигао своје циљеве енкрипције, Мимиц Рансомваре злоупотребљава Еверитхинг32.длл – легитимни Виндовс претраживач имена датотека – да би упитао одређене екстензије датотека и имена датотека како би пронашао њихове путање, било за шифровање или да би их искључио из процеса шифровања. Након шифровања циљних датотека, претња додаје екстензију '.КУИЕТПЛАЦЕ' њиховим именима. Претња приказује више порука које захтевају откуп – једну током процеса покретања, једну као текстуалну датотеку под називом „Децрипт_ме.ткт“, а другу која се приказује у искачућем прозору на екрану уређаја.

Пун текст захтева Мимиц Рансомваре-а који се налази у искачућем прозору и текстуалној датотеци је:

„Све ваше датотеке су шифроване нашим вирусом.
Ваш јединствени ИД:

Можете купити потпуно дешифровање ваших датотека
Али пре него што платите, можете се уверити да заиста можемо да дешифрујемо било коју од ваших датотека.
Кључ за шифровање и ИД су јединствени за ваш рачунар, тако да је загарантовано да ћете моћи да вратите своје датотеке.

Да уради ово:
1) Пошаљите свој јединствени ИД - и највише 3 датотеке за тестирање дешифровања
НАШИ КОНТАКТИ
1.1)ТОКС мессенгер (брз и анонимни)
хккпс://ток.цхат/довнлоад.хтмл
Инсталирајте кток
притисните певајте
креирајте своје име
Притисните плус
Ставите тамо мој токсиколошки број
95ЦЦ6600931403Ц55Е64134375095128Ф18ЕДА09Б4А74Б9Ф1906Ц1А4124ФЕ82Е4428Д42А6Ц65
И додај ме/напиши поруку
1.2) ИЦК Мессенгер
ИЦК ливе цхат који ради 24/7 - @мцдоналдсдебтзхлоб
Инсталирајте ИЦК софтвер на свој рачунар овде хккпс://ицк.цом/виндовс/ или на свом паметном телефону потражите „ИЦК“ у Аппсторе-у / Гоогле маркету
Пишите у наш ИЦК @педроллоанисимка хккпс://ицк.им/мцдоналдсдебтзхлоб
1.3) Скипе
МЦДОНАЛДСДЕБТЗХЛОБ ДЕЦРИПТИОН
4) Пошта (пишите само у критичним ситуацијама јер ваша е-пошта можда неће бити испоручена или ће доћи у нежељену пошту) мцдоналдсдебтзхлоб@онионмаил.орг

У наслову напишите свој ИД за дешифровање: -

Након дешифровања, послаћемо вам дешифроване датотеке и јединствени биткоин новчаник за плаћање.
Након уплате откупнине за Битцоин, послаћемо вам програм за дешифровање и упутства. Ако можемо да дешифрујемо ваше датотеке, немамо разлога да вас преваримо након уплате.

ФАК:
Могу ли добити попуст?
Не. Износ откупнине се израчунава на основу броја шифрованих канцеларијских датотека и попусти нису обезбеђени. Све такве поруке ће бити аутоматски игнорисане. Ако заиста желите само неке датотеке, зипујте их и отпремите негде. Ми ћемо их декодирати по цени 1 фајл = 1$.
Шта је Битцоин?
прочитајте битцоин.орг
Где купити биткоине?
хккпс://ввв.алфа.цасх/буи-црипто-витх-цредит-цард (најбржи начин)
буи.цоингате.цом
хккпс://битцоин.орг/ен/буи
хккпс://буи.моонпаи.ио
бинанце.цом
или користите гоогле.цом да бисте пронашли информације где да га купите
Где је гаранција да ћу добити назад своје датотеке?
Сама чињеница да можемо да дешифрујемо ваше насумичне датотеке је гаранција. Нема смисла да вас обмањујемо.
Колико брзо ћу добити кључ и програм за дешифровање након уплате?
По правилу, током 15 мин
Како функционише програм за дешифровање?
То је једноставно. Морате да покренете наш софтвер. Програм ће аутоматски дешифровати све шифроване датотеке на вашем ХДД-у.'