Mimic Ransomware
Scorekort för hot
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards är utvärderingsrapporter för olika skadliga hot som har samlats in och analyserats av vårt forskarteam. EnigmaSoft Threat Scorecards utvärderar och rangordnar hot med hjälp av flera mätvärden inklusive verkliga och potentiella riskfaktorer, trender, frekvens, prevalens och persistens. EnigmaSoft Threat Scorecards uppdateras regelbundet baserat på våra forskningsdata och mätvärden och är användbara för ett brett spektrum av datoranvändare, från slutanvändare som söker lösningar för att ta bort skadlig programvara från sina system till säkerhetsexperter som analyserar hot.
EnigmaSoft Threat Scorecards visar en mängd användbar information, inklusive:
Ranking: Rangordningen av ett visst hot i EnigmaSofts hotdatabas.
Allvarlighetsnivå: Den fastställda svårighetsgraden för ett objekt, representerad numeriskt, baserat på vår riskmodelleringsprocess och forskning, som förklaras i våra hotbedömningskriterier .
Infekterade datorer: Antalet bekräftade och misstänkta fall av ett visst hot som upptäckts på infekterade datorer som rapporterats av SpyHunter.
Se även Kriterier för hotbedömning .
| Hotnivå: | 100 % (Hög) |
| Infekterade datorer: | 2 |
| Först sett: | February 8, 2023 |
| Senast sedd: | March 1, 2023 |
| Operativsystem som påverkas: | Windows |
Cybersäkerhetsforskare har släppt detaljer om en tidigare okänd ransomware-stam som drar fördel av API:erna för Everything, en sökmotor för Windows-filnamn utvecklad av Voidtools. Denna ransomware, spårad som Mimic, upptäcktes först i naturen i juni 2022 och verkar rikta sig mot både rysktalande och engelsktalande användare.
Mimic Ransomware är utrustad med flera funktioner, som att ta bort Shadow Volume Copies, avsluta flera applikationer och tjänster och missbruka Everything32.dll-funktioner för att söka efter målfiler för kryptering. Hotet tros åtminstone delvis ha utvecklats från Conti Ransomware- byggaren som läckte tillbaka i mars 2022. Information om hotet släpptes i en rapport som släpptes av infosec-experter.
Innehållsförteckning
Mimic Ransomwares infektionskedja
Mimic-hotet distribueras på enheterna som har brutits som en körbar fil som i sin tur släpper flera binärfiler, inklusive ett lösenordsskyddat arkiv förklädd till Everything64.dll. Det här arkivet innehåller nyttolasten för ransomware. Den innehåller också verktyg för att inaktivera Windows Defender och legitima sdel-binärer.
När Mimic Ransomware körs släpper den dess komponenter till mappen %Temp%/7zipSfx och extraherar den lösenordsskyddade Everything64.dll till samma katalog med 7za.exe med kommandot: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. Dessutom kommer den att släppa en sessionsnyckelfil som heter session.tmp till samma katalog, som kommer att användas för fortsatt kryptering i händelse av avbrott i processen.
Efteråt kommer Mimic Ransomware att kopiera alla tappade filer till '%LocalAppData%{Random GUID}\' innan den byter namn till 'bestplacetolive.exe' och tar bort originalfilerna från %Temp%.
De hotande funktionerna hos Mimic Ransomware
Mimic Ransomware använder flera trådar och CreateThread-funktionen för att kryptera filer snabbt, vilket gör det svårt för säkerhetsforskare att analysera. Den har ett brett utbud av funktioner, som att samla in systeminformation, skapa persistens via RUN-nyckeln, förbigå User Account Control (UAC), inaktivera Windows Defender och telemetri, aktivera anti-avstängningsåtgärder, avsluta processer och tjänster, störa systemåterställningen och mer.
För att uppnå sina krypteringsmål missbrukar Mimic Ransomware Everything32.dll - en legitim sökmotor för Windows-filnamn - för att söka efter vissa filtillägg och filnamn för att hämta deras sökvägar, antingen för kryptering eller för att utesluta dem från krypteringsprocessen. Efter att ha krypterat målfilerna lägger hotet till tillägget '.QUIETPLACE' till deras namn. Hotet visar flera meddelanden som kräver lösen - ett under uppstartsprocessen, ett som en textfil med namnet 'Decrypt_me.txt' och ett annat som visas i ett popup-fönster på enhetens skärm.
Den fullständiga texten av Mimic Ransomwares krav som finns i popup-fönstret och textfilen är:
"Alla dina filer har krypterats med vårt virus.
Ditt unika ID:Du kan köpa fullständig dekryptering av dina filer
Men innan du betalar kan du se till att vi verkligen kan dekryptera någon av dina filer.
Krypteringsnyckeln och ID är unika för din dator, så du är garanterad att kunna returnera dina filer.Att göra detta:
1) Skicka ditt unika id - och max 3 filer för testdekryptering
VÅRA KONTAKTER
1.1) TOX-budbärare (snabb och anonym)
hxxps://tox.chat/download.html
Installera qtox
tryck sjung upp
skapa ditt eget namn
Tryck på plus
Sätt mitt tox-ID där
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
Och lägg till mig/skriv meddelande
1.2) ICQ Messenger
ICQ livechatt som fungerar 24/7 - @mcdonaldsdebtzhlob
Installera ICQ-programvaran på din PC här hxxps://icq.com/windows/ eller sök efter "ICQ" på din smartphone i Appstore/Google Market
Skriv till vår ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Skype
MCDONALDSDEBTZHLOB BESKRIVNING
4) Mail (skriv bara i kritiska situationer innan din e-post kanske inte levereras eller hamnar i skräppost) mcdonaldsdebtzhlob@onionmail.orgSkriv ditt dekrypterings-ID i ämnesraden: -
Efter dekrypteringen skickar vi de dekrypterade filerna och en unik bitcoin-plånbok till dig för betalning.
Efter betalning av lösen för Bitcoin kommer vi att skicka dig ett dekrypteringsprogram och instruktioner. Om vi kan dekryptera dina filer har vi ingen anledning att lura dig efter betalning.Vanliga frågor:
Kan jag få rabatt?
Nej. Lösenbeloppet beräknas baserat på antalet krypterade kontorsfiler och rabatter ges inte. Alla sådana meddelanden kommer att ignoreras automatiskt. Om du verkligen bara vill ha några av filerna, zippa dem och ladda upp dem någonstans. Vi kommer att avkoda dem till priset av 1 fil = 1$.
Vad är Bitcoin?
läs bitcoin.org
Var kan man köpa bitcoins?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (snabbaste sättet)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
eller använd google.com för att hitta information var du kan köpa den
Var finns garantin att jag får tillbaka mina filer?
Just det faktum att vi kan dekryptera dina slumpmässiga filer är en garanti. Det är ingen mening för oss att lura dig.
Hur snabbt får jag nyckeln och dekrypteringsprogrammet efter betalning?
Som regel under 15 min
Hur fungerar dekrypteringsprogrammet?
Det är enkelt. Du måste köra vår programvara. Programmet kommer automatiskt att dekryptera alla krypterade filer på din hårddisk.'
Filsysteminformation
| # | Filnamn | MD5 |
Detektioner
Detektioner: Antalet bekräftade och misstänkta fall av ett särskilt hot som upptäckts på infekterade datorer enligt rapporter från SpyHunter.
|
|---|---|---|---|
| 1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |
