అనుకరించు Ransomware

సైబర్‌ సెక్యూరిటీ పరిశోధకులు Voidtools చే అభివృద్ధి చేయబడిన Windows ఫైల్‌నేమ్ శోధన ఇంజిన్ అయిన ఎవ్రీథింగ్ యొక్క APIల ప్రయోజనాన్ని పొందే గతంలో తెలియని ransomware స్ట్రెయిన్ గురించి వివరాలను విడుదల చేశారు. మిమిక్‌గా ట్రాక్ చేయబడిన ఈ ransomware జూన్ 2022లో మొదటిసారిగా అడవిలో గుర్తించబడింది మరియు రష్యన్ మరియు ఇంగ్లీష్ మాట్లాడే వినియోగదారులను లక్ష్యంగా చేసుకున్నట్లు కనిపిస్తోంది.

మిమిక్ రాన్సమ్‌వేర్ షాడో వాల్యూమ్ కాపీలను తొలగించడం, బహుళ అప్లికేషన్‌లు మరియు సేవలను ముగించడం మరియు ఎన్‌క్రిప్షన్ కోసం టార్గెట్ ఫైల్‌లను క్వెరీ చేయడానికి ఎవ్రీథింగ్32.dll ఫంక్షన్‌లను దుర్వినియోగం చేయడం వంటి బహుళ సామర్థ్యాలను కలిగి ఉంది. మార్చి 2022లో లీక్ అయిన Conti Ransomware బిల్డర్ నుండి ముప్పు కనీసం పాక్షికంగా అభివృద్ధి చేయబడిందని నమ్ముతారు. ఇన్ఫోసెక్ నిపుణులు విడుదల చేసిన నివేదికలో ముప్పు గురించిన సమాచారం విడుదల చేయబడింది.

రాన్సమ్‌వేర్ యొక్క ఇన్ఫెక్షన్ చైన్‌ను అనుకరిస్తుంది

మిమిక్ థ్రెట్ అనేది ఎక్జిక్యూటబుల్ ఫైల్‌గా ఉల్లంఘించిన పరికరాల్లో అమలు చేయబడుతుంది, ఇది ఎవ్రీథింగ్64.dll వలె మారువేషంలో ఉన్న పాస్‌వర్డ్-రక్షిత ఆర్కైవ్‌తో సహా బహుళ బైనరీలను తగ్గిస్తుంది. ఈ ఆర్కైవ్ ransomware పేలోడ్‌ని కలిగి ఉంది. ఇది Windows డిఫెండర్ మరియు చట్టబద్ధమైన sdel బైనరీలను నిలిపివేయడానికి సాధనాలను కూడా కలిగి ఉంటుంది.

Mimic Ransomware అమలు చేయబడినప్పుడు, అది దాని భాగాలను %Temp%/7zipSfx ఫోల్డర్‌కి వదిలివేస్తుంది మరియు 7za.exeని ఉపయోగించి అదే డైరెక్టరీకి పాస్‌వర్డ్-రక్షిత Everything64.dllని సంగ్రహిస్తుంది: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. అదనంగా, ఇది సెషన్.tmp అనే సెషన్ కీ ఫైల్‌ను అదే డైరెక్టరీకి డ్రాప్ చేస్తుంది, ఇది ప్రక్రియలో అంతరాయం ఏర్పడితే ఎన్‌క్రిప్షన్‌ను కొనసాగించడానికి ఉపయోగించబడుతుంది.

ఆ తర్వాత, Mimic Ransomware అన్ని డ్రాప్ చేసిన ఫైల్‌లను '%LocalAppData%{Random GUID}\'కి కాపీ చేస్తుంది, దాని పేరును 'bestplacetolive.exe'కి మార్చడానికి మరియు %Temp% నుండి అసలు ఫైల్‌లను తొలగించడానికి ముందు.

మిమిక్ రాన్సమ్‌వేర్ యొక్క బెదిరింపు సామర్థ్యాలు

Mimic Ransomware ఫైల్‌లను త్వరగా గుప్తీకరించడానికి బహుళ థ్రెడ్‌లు మరియు CreateThread ఫంక్షన్‌ను ఉపయోగిస్తుంది, భద్రతా పరిశోధకులకు విశ్లేషించడం కష్టతరం చేస్తుంది. ఇది సిస్టమ్ సమాచారాన్ని సేకరించడం, RUN కీ ద్వారా పట్టుదలను సృష్టించడం, వినియోగదారు ఖాతా నియంత్రణ (UAC)ని దాటవేయడం, Windows డిఫెండర్ మరియు టెలిమెట్రీని నిలిపివేయడం, యాంటీ-షట్‌డౌన్ చర్యలను సక్రియం చేయడం, ప్రక్రియలు మరియు సేవలను ముగించడం, జోక్యం చేసుకోవడం వంటి అనేక రకాల సామర్థ్యాలను కలిగి ఉంది. సిస్టమ్ రికవరీ మరియు మరిన్ని.

దాని గుప్తీకరణ లక్ష్యాలను సాధించడానికి, Mimic Ransomware ఎవ్రీథింగ్32.dll - చట్టబద్ధమైన Windows ఫైల్‌నేమ్ సెర్చ్ ఇంజన్ - నిర్దిష్ట ఫైల్ ఎక్స్‌టెన్షన్‌లు మరియు ఫైల్‌నేమ్‌లను వాటి మార్గాలను తిరిగి పొందేందుకు, ఎన్‌క్రిప్షన్ కోసం లేదా వాటిని ఎన్‌క్రిప్షన్ ప్రాసెస్ నుండి మినహాయించడానికి ప్రశ్నించడానికి దుర్వినియోగం చేస్తుంది. లక్ష్య ఫైల్‌లను ఎన్‌క్రిప్ట్ చేసిన తర్వాత, ముప్పు వాటి పేర్లకు '.QUIETPLACE' పొడిగింపును జోడిస్తుంది. ముప్పు బహుళ రాన్సమ్-డిమాండింగ్ సందేశాలను ప్రదర్శిస్తుంది - ఒకటి ప్రారంభ ప్రక్రియ సమయంలో, ఒకటి 'Decrypt_me.txt' అనే టెక్స్ట్ ఫైల్‌గా మరియు మరొకటి పరికరం స్క్రీన్‌పై పాప్-అప్ విండోలో చూపబడుతుంది.

పాప్-అప్ విండో మరియు టెక్స్ట్ ఫైల్‌లో మిమిక్ రాన్సమ్‌వేర్ డిమాండ్‌ల పూర్తి టెక్స్ట్ కనుగొనబడింది:

'మీ ఫైల్‌లన్నీ మా వైరస్‌తో ఎన్‌క్రిప్ట్ చేయబడ్డాయి.
మీ ప్రత్యేక ID:

మీరు మీ ఫైల్‌ల పూర్తి డీక్రిప్షన్‌ను కొనుగోలు చేయవచ్చు
కానీ మీరు చెల్లించే ముందు, మేము మీ ఫైల్‌లలో దేనినైనా నిజంగా డీక్రిప్ట్ చేయగలమని మీరు నిర్ధారించుకోవచ్చు.
ఎన్‌క్రిప్షన్ కీ మరియు ID మీ కంప్యూటర్‌కు ప్రత్యేకమైనవి, కాబట్టి మీరు మీ ఫైల్‌లను తిరిగి ఇవ్వగలరని హామీ ఇవ్వబడింది.

ఇది చేయుటకు:
1) పరీక్ష డిక్రిప్షన్ కోసం మీ ప్రత్యేక id - మరియు గరిష్టంగా 3 ఫైల్‌లను పంపండి
మా పరిచయాలు
1.1)TOX మెసెంజర్ (ఫాస్ట్ మరియు అనామక)
hxxps://tox.chat/download.html
qtoxని ఇన్‌స్టాల్ చేయండి
పాడటానికి నొక్కండి
మీ స్వంత పేరును సృష్టించండి
ప్లస్ నొక్కండి
నా టాక్స్ ఐడిని అక్కడ ఉంచండి
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
మరియు నన్ను జోడించండి/సందేశాన్ని వ్రాయండి
1.2)ICQ మెసెంజర్
ICQ లైవ్ చాట్ 24/7 పని చేస్తుంది - @mcdonaldsdebtzhlob
ఇక్కడ మీ PCలో ICQ సాఫ్ట్‌వేర్‌ను ఇన్‌స్టాల్ చేయండి hxxps://icq.com/windows/ లేదా యాప్‌స్టోర్ / గూగుల్ మార్కెట్‌లో "ICQ" కోసం మీ స్మార్ట్‌ఫోన్ శోధనలో
మా ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlobకి వ్రాయండి
1.3) స్కైప్
MCDONALDSDEBTZHLOB డిక్రిప్షన్
4) మెయిల్ (క్లిష్ట పరిస్థితుల్లో మాత్రమే వ్రాయండి bcs మీ ఇమెయిల్ డెలివరీ చేయబడకపోవచ్చు లేదా స్పామ్‌లో చేరవచ్చు) mcdonaldsdebtzhlob@onionmail.org

సబ్జెక్ట్ లైన్‌లో దయచేసి మీ డిక్రిప్షన్ IDని వ్రాయండి: -

డీక్రిప్షన్ తర్వాత, మేము మీకు డీక్రిప్ట్ చేసిన ఫైల్‌లను మరియు చెల్లింపు కోసం ప్రత్యేకమైన బిట్‌కాయిన్ వాలెట్‌ను పంపుతాము.
Bitcoin కోసం విమోచన చెల్లింపు తర్వాత, మేము మీకు డిక్రిప్షన్ ప్రోగ్రామ్ మరియు సూచనలను పంపుతాము. మేము మీ ఫైల్‌లను డీక్రిప్ట్ చేయగలిగితే, చెల్లింపు తర్వాత మిమ్మల్ని మోసం చేయడానికి మాకు ఎటువంటి కారణం లేదు.

ఎఫ్ ఎ క్యూ:
నేను తగ్గింపు పొందవచ్చా?
లేదు. ఎన్‌క్రిప్ట్ చేయబడిన ఆఫీస్ ఫైల్‌ల సంఖ్య ఆధారంగా విమోచన మొత్తం లెక్కించబడుతుంది మరియు డిస్కౌంట్‌లు అందించబడవు. అటువంటి సందేశాలన్నీ స్వయంచాలకంగా విస్మరించబడతాయి. మీకు నిజంగా కొన్ని ఫైల్‌లు మాత్రమే కావాలంటే, వాటిని జిప్ చేసి ఎక్కడైనా అప్‌లోడ్ చేయండి. మేము వాటిని 1 ఫైల్ = 1$ ధరకు డీకోడ్ చేస్తాము.
Bitcoin అంటే ఏమిటి?
bitcoin.org చదవండి
బిట్‌కాయిన్‌లను ఎక్కడ కొనుగోలు చేయాలి?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (వేగవంతమైన మార్గం)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
లేదా ఎక్కడ కొనుగోలు చేయాలనే సమాచారాన్ని కనుగొనడానికి google.comని ఉపయోగించండి
నేను నా ఫైల్‌లను తిరిగి స్వీకరిస్తానని హామీ ఎక్కడ ఉంది?
మేము మీ యాదృచ్ఛిక ఫైల్‌లను డీక్రిప్ట్ చేయగలము అనే వాస్తవం ఒక హామీ. మేము మిమ్మల్ని మోసం చేయడంలో అర్థం లేదు.
చెల్లింపు తర్వాత నేను ఎంత త్వరగా కీ మరియు డిక్రిప్షన్ ప్రోగ్రామ్‌ను అందుకుంటాను?
నియమం ప్రకారం, 15 నిమిషాల సమయంలో
డిక్రిప్షన్ ప్రోగ్రామ్ ఎలా పని చేస్తుంది?
ఇది సులభం. మీరు మా సాఫ్ట్‌వేర్‌ను అమలు చేయాలి. ప్రోగ్రామ్ మీ HDDలో అన్ని ఎన్‌క్రిప్ట్ చేసిన ఫైల్‌లను ఆటోమేటిక్‌గా డీక్రిప్ట్ చేస్తుంది.'