MIRROR Ransomware
Efter att noggrant analyserat potentiella hot mot skadlig programvara har forskare definitivt identifierat MIRROR som en ransomware-variant. Det primära syftet med MIRROR-hotet är att kryptera filer som finns på komprometterade enheter. Dessutom döper den om filerna och utfärdar två lösensedlar – en i form av ett popup-fönster och den andra som en textfil med namnet 'info-MIRROR.txt'.
MIRROR Ransomware använder en specifik namnkonvention för filer som den krypterar, lägger till offrets ID, 'tpyrcedrorrim@tuta.io' e-postadress och '.Mr' tillägg. Till exempel omvandlar den '1.pdf' till '1.pdf.id-9ECFA74E.[tpyrcedrorrim@tuta.io].Mr,' och '2.png' blir '2.png.id-9ECFA74E.[tpyrcedrorrim@ tuta.io].Mr,' och så vidare. Just detta hot har kategoriserats som en variant inom Dharma Ransomware- familjen.
Innehållsförteckning
MIRROR Ransomware går bortom filkryptering
Förutom att kryptera filer, använder MIRROR strategiska åtgärder för att äventyra det riktade systemets säkerhet ytterligare. En sådan taktik innebär att inaktivera brandväggen, och därigenom öka systemets sårbarhet för de skadliga aktiviteter som orkestreras av ransomware. Dessutom vidtar MIRROR medvetna åtgärder för att radera Shadow Volume Copies, vilket effektivt eliminerar potentiella återställningspunkter och hindrar återställningsarbetet.
MIRROR utnyttjar sårbarheter inom Remote Desktop Protocol-tjänster (RDP) som en primär vektor för infektion. Detta innebär vanligtvis att man utnyttjar svaga kontouppgifter genom metoder som brute force och ordboksattacker. Genom att utnyttja dessa tekniker får ransomwaren obehörig åtkomst till system, särskilt de med otillräckligt hanterad kontosäkerhet.
Dessutom uppvisar MIRROR förmågan att extrahera platsdata, vilket gör att den kan urskilja det geografiska sammanhanget för de infekterade systemen. Noterbart har den förmågan att utesluta förutbestämda platser från dess datautvinningsomfång. Dessutom innehåller MIRROR uthållighetsmekanismer, vilket säkerställer att det kan behålla fotfästet inom det komprometterade systemet under en längre period.
Offer för MIRROR Ransomware utpressas på pengar
Lösenedeln från MIRROR Ransomware fungerar som en kommunikation från angriparna till offret, som uttryckligen anger att alla offrets filer har genomgått kryptering. Den beskriver en möjlig väg för filåterställning, instruerar offret att initiera kontakt via en specificerad e-postadress (tpyrcedrorrim@tuta.io) och tillhandahåller en unik identifierare.
Som ett alternativt kommunikationsmedel anger anteckningen även en annan e-postadress (mirrorrorrim@cock.li). Noteringen avråder starkt från användningen av mellanhänder för kommunikation, och hänvisar till potentiella risker som överdebitering, omotiverad debitering och avvisande av transaktioner. Angriparna hävdar sin förmåga att tillhandahålla tjänster för krypterad dataåterställning och erbjuder garantier, inklusive en återställningsdemonstration som involverar upp till tre filer för att styrka deras kompetens.
Dessutom utfärdar lösensumman ett varnande råd till offret, som uttryckligen avråder från att döpa om krypterade filer. Den varnar också för att försöka dekryptera genom programvara från tredje part, och betonar de potentiella konsekvenserna av permanent dataförlust eller mottaglighet för bedrägerier. Avsikten är att vägleda offret om det säkraste tillvägagångssättet för att maximera chanserna till framgångsrik filåterställning samtidigt som potentiella risker minimeras.
Vidta åtgärder för att stärka dina enheter mot Ransomware-infektioner
Ransomware utgör ett betydande hot mot säkerheten för digitala enheter, med potentiella konsekvenser som sträcker sig från dataförlust till ekonomisk utpressning. Att implementera proaktiva åtgärder är avgörande för att stärka enheter mot sådana infektioner. Här är fem effektiva steg som användare kan ta:
- Uppdatera operativsystem och programvara regelbundet : Det är viktigt att hålla operativsystem och programvara uppdaterade, eftersom uppdateringar ofta innehåller säkerhetskorrigeringar som åtgärdar sårbarheter. Kontrollera regelbundet efter och tillämpa uppdateringar för att minska risken för att ransomware utnyttjar kända svagheter.
- Installera och underhålla säkerhetsprogramvara : Att använda pålitlig säkerhetsprogramvara ger ett extra lager av försvar mot ransomware. Se till att anti-malware-programmet uppdateras regelbundet och genomför schemalagda skanningar för att upptäcka och eliminera potentiella hot innan de kan äventyra din enhet.
- Var försiktig med e-postbilagor och länkar : Ransomware infiltrerar ofta system genom nätfiske-e-postmeddelanden som innehåller skadliga bilagor eller länkar. Var mycket försiktig när du öppnar e-postmeddelanden från okända avsändare, försök att inte klicka på misstänkta länkar och avstå från att ladda ner bilagor om inte deras legitimitet har verifierats.
- Säkerhetskopiera data regelbundet : Att skapa regelbundna säkerhetskopior av viktiga data är en viktig förebyggande åtgärd. I en ransomware-attack tillåter de senaste säkerhetskopiorna användare att återställa sina filer utan att ge efter för utpressning. Lagra säkerhetskopior på en extern enhet eller en säker molntjänst.
- Implementera nätverkssäkerhetsåtgärder : Att stärka nätverkssäkerheten kan förhindra attacker från ransomware. Använd brandväggar och intrångsdetektering/-förebyggande system, använd unika och starka lösenord för alla enheter och konton, och överväg att segmentera nätverk för att begränsa den potentiella påverkan av en infektion på hela systemet.
Genom att anta dessa åtgärder kan användare avsevärt förbättra sina enheters motståndskraft mot ransomware, skydda deras värdefulla data och bibehålla integriteten i sin digitala miljö.
Den fullständiga texten i den huvudsakliga lösennotan som lämnats av MIRROR Ransomware är:
'MIRROR
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: tpyrcedrorrim@tuta.io YOUR ID 9ECFA84E
If you have not answered by mail within 12 hours, write to us by another mail:mirrorrorrim@cock.li
We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.
-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.
Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
Textfilen som släpps av MIRROR Ransomware innehåller följande meddelande:
'all din data har låsts oss
Vill du tillbaka?
skriv e-post tpyrcedrorrim@tuta.io eller mirrorrorrim@cock.li'
