மிமிக் Ransomware

சைபர் செக்யூரிட்டி ஆராய்ச்சியாளர்கள், Voidtools ஆல் உருவாக்கப்பட்ட Windows கோப்புப் பெயர் தேடுபொறியான API களின் APIகளைப் பயன்படுத்தி, முன்னர் அறியப்படாத ransomware திரிபு பற்றிய விவரங்களை வெளியிட்டுள்ளனர். மிமிக் என கண்காணிக்கப்படும் இந்த ransomware, ஜூன் 2022 இல் முதன்முதலில் காடுகளில் காணப்பட்டது மற்றும் ரஷ்ய மற்றும் ஆங்கிலம் பேசும் பயனர்களை இலக்காகக் கொண்டதாகத் தெரிகிறது.

Mimic Ransomware ஆனது நிழல் தொகுதி நகல்களை நீக்குதல், பல பயன்பாடுகள் மற்றும் சேவைகளை நிறுத்துதல் மற்றும் குறியாக்கத்திற்கான இலக்கு கோப்புகளை வினவுவதற்கு எவ்ரிவ்வெரிட்டி32.dll செயல்பாடுகளை தவறாகப் பயன்படுத்துதல் போன்ற பல திறன்களைக் கொண்டுள்ளது. மார்ச் 2022 இல் மீண்டும் கசிந்த Conti Ransomware பில்டரிலிருந்து இந்த அச்சுறுத்தல் ஓரளவுக்கு உருவாக்கப்பட்டதாக நம்பப்படுகிறது. இன்ஃபோசெக் நிபுணர்கள் வெளியிட்ட அறிக்கையில் இந்த அச்சுறுத்தல் பற்றிய தகவல் வெளியிடப்பட்டது.

மிமிக் Ransomware இன் தொற்று சங்கிலி

மிமிக் அச்சுறுத்தல் மீறப்பட்ட சாதனங்களில் இயங்கக்கூடிய கோப்பாகப் பயன்படுத்தப்படுகிறது, அதையொட்டி, எவ்ரிவ்டி64.dll என மாறுவேடமிட்ட கடவுச்சொல்-பாதுகாக்கப்பட்ட காப்பகம் உட்பட பல பைனரிகளைக் குறைக்கிறது. இந்தக் காப்பகத்தில் ransomware பேலோட் உள்ளது. விண்டோஸ் டிஃபென்டர் மற்றும் முறையான sdel பைனரிகளை முடக்குவதற்கான கருவிகளும் இதில் அடங்கும்.

Mimic Ransomware செயல்படுத்தப்படும் போது, அது அதன் கூறுகளை %Temp%/7zipSfx கோப்புறையில் இறக்கி, கடவுச்சொல்-பாதுகாக்கப்பட்ட Everything64.dll ஐ 7za.exe ஐப் பயன்படுத்தி அதே கோப்பகத்தில் பிரித்தெடுக்கும்: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. கூடுதலாக, இது செஷன்.டிஎம்பி எனப்படும் அமர்வு முக்கிய கோப்பை அதே கோப்பகத்தில் கைவிடும், இது செயல்பாட்டில் குறுக்கீடு ஏற்பட்டால் குறியாக்கத்தைத் தொடரப் பயன்படும்.

அதன்பிறகு, Mimic Ransomware கைவிடப்பட்ட எல்லா கோப்புகளையும் '%LocalAppData%{Random GUID}\'க்கு நகலெடுக்கும், அதற்கு முன் தன்னை 'bestplacetolive.exe' என மறுபெயரிட்டு %Temp% இலிருந்து அசல் கோப்புகளை நீக்கும்.

மிமிக் ரான்சம்வேரின் அச்சுறுத்தும் திறன்கள்

Mimic Ransomware கோப்புகளை விரைவாக என்க்ரிப்ட் செய்ய பல நூல்கள் மற்றும் CreateThread செயல்பாட்டைப் பயன்படுத்துகிறது, இது பாதுகாப்பு ஆராய்ச்சியாளர்களுக்கு பகுப்பாய்வு செய்வதை கடினமாக்குகிறது. இது கணினித் தகவலைச் சேகரிப்பது, RUN விசையின் மூலம் நிலைத்தன்மையை உருவாக்குவது, பயனர் கணக்குக் கட்டுப்பாட்டை (UAC) புறக்கணிப்பது, Windows Defender மற்றும் டெலிமெட்ரியை முடக்குவது, பணிநிறுத்தம் எதிர்ப்பு நடவடிக்கைகளைச் செயல்படுத்துவது, செயல்முறைகள் மற்றும் சேவைகளை நிறுத்துவது, குறுக்கிடுவது போன்ற பலதரப்பட்ட திறன்களைக் கொண்டுள்ளது. கணினி மீட்பு மற்றும் பல.

அதன் குறியாக்க இலக்குகளை அடைய, Mimic Ransomware எல்லாம் 32.dll - முறையான Windows கோப்பு பெயர் தேடு பொறி - சில கோப்பு நீட்டிப்புகள் மற்றும் கோப்பு பெயர்களை வினவ, அவற்றின் பாதைகளை குறியாக்கத்திற்காக அல்லது குறியாக்க செயல்முறையிலிருந்து விலக்குகிறது. இலக்கு கோப்புகளை குறியாக்கம் செய்த பிறகு, அச்சுறுத்தல் அவற்றின் பெயர்களுடன் '.QUIETPLACE' நீட்டிப்பைச் சேர்க்கிறது. அச்சுறுத்தல் பல மீட்கும் செய்திகளைக் காட்டுகிறது - ஒன்று தொடக்கச் செயல்பாட்டின் போது, ஒன்று 'Decrypt_me.txt' என்ற உரைக் கோப்பாகவும், மற்றொன்று சாதனத்தின் திரையில் பாப்-அப் சாளரத்தில் காட்டப்படும்.

பாப்-அப் விண்டோ மற்றும் டெக்ஸ்ட் கோப்பில் காணப்படும் Mimic Ransomware இன் கோரிக்கைகளின் முழு உரை:

உங்கள் எல்லா கோப்புகளும் எங்கள் வைரஸால் என்க்ரிப்ட் செய்யப்பட்டுள்ளன.
உங்கள் தனிப்பட்ட ஐடி:

உங்கள் கோப்புகளை முழுமையாக மறைகுறியாக்கத்தை வாங்கலாம்
ஆனால் நீங்கள் பணம் செலுத்துவதற்கு முன், உங்களின் எந்தக் கோப்புகளையும் நாங்கள் உண்மையில் டிக்ரிப்ட் செய்ய முடியும் என்பதை உறுதிப்படுத்திக் கொள்ளலாம்.
குறியாக்க விசையும் ஐடியும் உங்கள் கணினிக்கு தனித்துவமானது, எனவே உங்கள் கோப்புகளை திருப்பி அனுப்ப முடியும்.

இதனை செய்வதற்கு:
1) உங்கள் தனிப்பட்ட ஐடியை அனுப்பவும் - மற்றும் சோதனை டிக்ரிப்ஷனுக்கு அதிகபட்சம் 3 கோப்புகளை அனுப்பவும்
எங்கள் தொடர்புகள்
1.1) TOX தூதுவர் (வேகமான மற்றும் அநாமதேய)
hxxps://tox.chat/download.html
qtox ஐ நிறுவவும்
பாடலை அழுத்தவும்
உங்கள் சொந்த பெயரை உருவாக்கவும்
பிளஸ் அழுத்தவும்
என் டாக்ஸ் ஐடியை அங்கே போடு
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
மேலும் என்னைச் சேர்க்கவும்/செய்தி எழுதவும்
1.2)ICQ தூதுவர்
24/7 வேலை செய்யும் ICQ நேரடி அரட்டை - @mcdonaldsdebtzhlob
உங்கள் கணினியில் ICQ மென்பொருளை நிறுவவும்.
எங்கள் ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob க்கு எழுதவும்
1.3) ஸ்கைப்
MCDONALDSDEBTZHLOB டிக்ரிப்ஷன்
4)அஞ்சல் (முக்கியமான சூழ்நிலைகளில் மட்டும் எழுதவும் bcs உங்கள் மின்னஞ்சல் அனுப்பப்படாமல் இருக்கலாம் அல்லது ஸ்பேமில் வரலாம்) mcdonaldsdebtzhlob@onionmail.org

தலைப்பு வரியில் உங்கள் மறைகுறியாக்க ஐடியை எழுதவும்: -

மறைகுறியாக்கத்திற்குப் பிறகு, நாங்கள் உங்களுக்கு மறைகுறியாக்கப்பட்ட கோப்புகள் மற்றும் ஒரு தனிப்பட்ட பிட்காயின் பணப்பையை பணம் செலுத்துவதற்காக அனுப்புவோம்.
பிட்காயினுக்கான பணப் பரிவர்த்தனைக்குப் பிறகு, நாங்கள் உங்களுக்கு மறைகுறியாக்கத் திட்டம் மற்றும் வழிமுறைகளை அனுப்புவோம். உங்கள் கோப்புகளை எங்களால் டிக்ரிப்ட் செய்ய முடிந்தால், பணம் செலுத்திய பிறகு உங்களை ஏமாற்ற எங்களுக்கு எந்த காரணமும் இல்லை.

அடிக்கடி கேட்கப்படும் கேள்விகள்:
நான் தள்ளுபடி பெறலாமா?
எண். மறைகுறியாக்கப்பட்ட அலுவலக கோப்புகளின் எண்ணிக்கையின் அடிப்படையில் மீட்கும் தொகை கணக்கிடப்படுகிறது மற்றும் தள்ளுபடிகள் வழங்கப்படவில்லை. அத்தகைய செய்திகள் அனைத்தும் தானாகவே புறக்கணிக்கப்படும். நீங்கள் உண்மையில் சில கோப்புகளை மட்டுமே விரும்பினால், அவற்றை ஜிப் செய்து எங்காவது பதிவேற்றவும். 1 கோப்பு = 1$ விலையில் அவற்றை டிகோட் செய்வோம்.
பிட்காயின் என்றால் என்ன?
bitcoin.org ஐப் படிக்கவும்
பிட்காயின்களை எங்கே வாங்குவது?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (வேகமான வழி)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
அல்லது google.comஐப் பயன்படுத்தி அதை எங்கு வாங்குவது என்ற தகவலைக் கண்டறியவும்
எனது கோப்புகளை நான் திரும்பப் பெறுவேன் என்பதற்கான உத்தரவாதம் எங்கே?
உங்கள் சீரற்ற கோப்புகளை நாங்கள் மறைகுறியாக்க முடியும் என்பது ஒரு உத்தரவாதம். நாங்கள் உங்களை ஏமாற்றுவதில் அர்த்தமில்லை.
பணம் செலுத்திய பிறகு விசை மற்றும் மறைகுறியாக்கத் திட்டத்தை எவ்வளவு விரைவாகப் பெறுவேன்?
ஒரு விதியாக, 15 நிமிடங்களில்
மறைகுறியாக்க நிரல் எவ்வாறு செயல்படுகிறது?
இது எளிமை. நீங்கள் எங்கள் மென்பொருளை இயக்க வேண்டும். உங்கள் HDDயில் உள்ள அனைத்து என்க்ரிப்ட் செய்யப்பட்ட கோப்புகளையும் நிரல் தானாகவே டிக்ரிப்ட் செய்யும்.'