เลียนแบบ Ransomware
ดัชนีชี้วัดภัยคุกคาม
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards เป็นรายงานการประเมินภัยคุกคามมัลแวร์ต่างๆ ซึ่งรวบรวมและวิเคราะห์โดยทีมวิจัยของเรา EnigmaSoft Threat Scorecards ประเมินและจัดอันดับภัยคุกคามโดยใช้เมตริกต่างๆ รวมถึงปัจจัยเสี่ยงในโลกแห่งความเป็นจริงและที่อาจเกิดขึ้น แนวโน้ม ความถี่ ความชุก และการคงอยู่ EnigmaSoft Threat Scorecards ได้รับการอัปเดตเป็นประจำตามข้อมูลการวิจัยและเมตริกของเรา และมีประโยชน์สำหรับผู้ใช้คอมพิวเตอร์หลากหลายประเภท ตั้งแต่ผู้ใช้ปลายทางที่กำลังมองหาโซลูชันเพื่อลบมัลแวร์ออกจากระบบของพวกเขา ไปจนถึงผู้เชี่ยวชาญด้านความปลอดภัยที่วิเคราะห์ภัยคุกคาม
EnigmaSoft Threat Scorecards แสดงข้อมูลที่เป็นประโยชน์มากมาย รวมถึง:
การจัดอันดับ: การจัดอันดับภัยคุกคามเฉพาะในฐานข้อมูลภัยคุกคามของ EnigmaSoft
ระดับความรุนแรง: ระดับความ รุนแรงที่กำหนดของวัตถุ ซึ่งแสดงเป็นตัวเลข โดยอิงตามกระบวนการสร้างแบบจำลองความเสี่ยงและการวิจัยตามที่อธิบายไว้ใน เกณฑ์การประเมินภัยคุกคาม
คอมพิวเตอร์ที่ติดไวรัส: จำนวนกรณีที่ได้รับการยืนยันและสงสัยว่าเป็นภัยคุกคามเฉพาะที่ตรวจพบในคอมพิวเตอร์ที่ติดไวรัสตามที่ SpyHunter รายงาน
ดูเพิ่มเติมที่ เกณฑ์การประเมินภัยคุกคาม
ระดับภัยคุกคาม: | 100 % (สูง) |
คอมพิวเตอร์ที่ติดเชื้อ: | 2 |
เห็นครั้งแรก: | February 8, 2023 |
ครั้งสุดท้ายที่เจอ: | March 1, 2023 |
ระบบปฏิบัติการที่ได้รับผลกระทบ: | Windows |
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดเกี่ยวกับแรนซัมแวร์สายพันธุ์ที่ไม่รู้จักก่อนหน้านี้ซึ่งใช้ประโยชน์จาก APIs of Everything ซึ่งเป็นเครื่องมือค้นหาชื่อไฟล์ Windows ที่พัฒนาโดย Voidtools แรนซั่มแวร์นี้ซึ่งถูกติดตามในชื่อ Mimic ถูกพบครั้งแรกในเดือนมิถุนายน 2022 และดูเหมือนว่าจะกำหนดเป้าหมายทั้งผู้ใช้ที่พูดภาษารัสเซียและภาษาอังกฤษ
Mimic Ransomware มาพร้อมกับความสามารถหลายอย่าง เช่น การลบ Shadow Volume Copies การยกเลิกแอปพลิเคชันและบริการหลายรายการ และการใช้ฟังก์ชัน Everything32.dll ในทางที่ผิดเพื่อค้นหาไฟล์เป้าหมายสำหรับการเข้ารหัส เชื่อกันว่าภัยคุกคามนี้ได้รับการพัฒนาอย่างน้อยบางส่วนจากตัวสร้าง Conti Ransomware ที่รั่วไหลออกมาในเดือนมีนาคม 2565 ข้อมูลเกี่ยวกับภัยคุกคามได้รับการเผยแพร่ในรายงานที่เผยแพร่โดยผู้เชี่ยวชาญของ Infosec
สารบัญ
ห่วงโซ่การติดเชื้อเลียนแบบของ Ransomware
ภัยคุกคาม Mimic ถูกนำไปใช้กับอุปกรณ์ที่ถูกละเมิดเป็นไฟล์ปฏิบัติการซึ่งในทางกลับกันจะทิ้งไบนารีหลายตัว รวมถึงไฟล์เก็บถาวรที่ป้องกันด้วยรหัสผ่านซึ่งปลอมเป็น Everything64.dll ไฟล์เก็บถาวรนี้มีเพย์โหลดแรนซัมแวร์ นอกจากนี้ยังมีเครื่องมือสำหรับการปิดใช้งาน Windows Defender และไบนารี sdel ที่ถูกต้อง
เมื่อมีการเรียกใช้งาน Mimic Ransomware มันจะปล่อยส่วนประกอบของมันไปยังโฟลเดอร์ %Temp%/7zipSfx และแตกไฟล์ Everything64.dll ที่ป้องกันด้วยรหัสผ่านไปยังไดเร็กทอรีเดียวกันโดยใช้ 7za.exe ด้วยคำสั่ง: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll นอกจากนี้ จะปล่อยไฟล์คีย์เซสชันชื่อ session.tmp ไปยังไดเร็กทอรีเดียวกัน ซึ่งจะใช้สำหรับการเข้ารหัสต่อไปในกรณีที่กระบวนการหยุดชะงัก
หลังจากนั้น Mimic Ransomware จะคัดลอกไฟล์ที่ทิ้งทั้งหมดไปที่ '%LocalAppData%{Random GUID}\' ก่อนที่จะเปลี่ยนชื่อตัวเองเป็น 'bestplacetolive.exe' และลบไฟล์ต้นฉบับจาก %Temp%
ความสามารถที่เป็นอันตรายของ Mimic Ransomware
Mimic Ransomware ใช้หลายเธรดและฟังก์ชัน CreateThread เพื่อเข้ารหัสไฟล์อย่างรวดเร็ว ทำให้นักวิจัยด้านความปลอดภัยวิเคราะห์ได้ยาก มีความสามารถที่หลากหลาย เช่น การรวบรวมข้อมูลระบบ การสร้างการคงอยู่ผ่านปุ่ม RUN การข้ามการควบคุมบัญชีผู้ใช้ (UAC) การปิดใช้งาน Windows Defender และ telemetry การเปิดใช้งานมาตรการต่อต้านการปิดระบบ ยุติกระบวนการและบริการ การแทรกแซง การกู้คืนระบบ และอื่นๆ
เพื่อให้บรรลุเป้าหมายการเข้ารหัส Mimic Ransomware ละเมิด Everything32.dll ซึ่งเป็นโปรแกรมค้นหาชื่อไฟล์ Windows ที่ถูกต้อง เพื่อค้นหานามสกุลไฟล์และชื่อไฟล์บางอย่างเพื่อดึงเส้นทาง ไม่ว่าจะเพื่อเข้ารหัสหรือแยกออกจากกระบวนการเข้ารหัส หลังจากเข้ารหัสไฟล์เป้าหมายแล้ว ภัยคุกคามจะเพิ่มนามสกุล '.QUIETPLACE' ต่อท้ายชื่อ ภัยคุกคามแสดงข้อความเรียกค่าไถ่หลายข้อความ ข้อความหนึ่งระหว่างกระบวนการเริ่มต้น ข้อความหนึ่งเป็นไฟล์ข้อความชื่อ 'Decrypt_me.txt' และอีกข้อความหนึ่งที่แสดงในหน้าต่างป๊อปอัปบนหน้าจอของอุปกรณ์
ข้อความทั้งหมดของความต้องการของ Mimic Ransomware ที่พบในหน้าต่างป๊อปอัปและไฟล์ข้อความคือ:
'ไฟล์ทั้งหมดของคุณได้รับการเข้ารหัสด้วยไวรัสของเรา
ID เฉพาะของคุณ:คุณสามารถซื้อการถอดรหัสไฟล์ของคุณได้อย่างสมบูรณ์
แต่ก่อนที่คุณจะชำระเงิน คุณสามารถตรวจสอบให้แน่ใจว่าเราสามารถถอดรหัสไฟล์ใดๆ ของคุณได้จริงๆ
คีย์เข้ารหัสและ ID นั้นไม่ซ้ำกันสำหรับคอมพิวเตอร์ของคุณ ดังนั้นคุณจึงรับประกันได้ว่าจะสามารถส่งคืนไฟล์ของคุณได้เพื่อทำสิ่งนี้:
1) ส่งรหัสเฉพาะของคุณ - และไฟล์สูงสุด 3 ไฟล์เพื่อทดสอบการถอดรหัส
ติดต่อเรา
1.1) TOX messenger (รวดเร็วและไม่เปิดเผยตัวตน)
hxxps://tox.chat/download.html
ติดตั้ง qtox
กดร้องเพลง
สร้างชื่อของคุณเอง
กดบวก
ใส่รหัสสารพิษของฉัน
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
และเพิ่มฉัน/เขียนข้อความ
1.2) ICQ เมสเซนเจอร์
แชทสดของ ICQ ซึ่งใช้งานได้ทุกวันตลอด 24 ชั่วโมง - @mcdonaldsdebtzhlob
ติดตั้งซอฟต์แวร์ ICQ บนพีซีของคุณที่นี่ hxxps://icq.com/windows/ หรือบนสมาร์ทโฟนของคุณค้นหา "ICQ" ใน Appstore / Google market
เขียนถึง ICQ ของเรา @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) สไกป์
MCDONALDSDEBTZHLOB คำอธิบาย
4) จดหมาย (เขียนเฉพาะในสถานการณ์ที่สำคัญเพราะอีเมลของคุณอาจไม่ถูกส่งหรือได้รับสแปม) mcdonaldsdebtzhlob@onionmail.orgในหัวเรื่องโปรดเขียนรหัสถอดรหัสของคุณ: -
หลังจากถอดรหัส เราจะส่งไฟล์ที่ถอดรหัสและกระเป๋าเงิน bitcoin เฉพาะสำหรับการชำระเงินให้คุณ
หลังจากชำระค่าไถ่ Bitcoin เราจะส่งโปรแกรมถอดรหัสและคำแนะนำให้คุณ หากเราสามารถถอดรหัสไฟล์ของคุณได้ เราไม่มีเหตุผลที่จะหลอกลวงคุณหลังจากชำระเงินคำถามที่พบบ่อย:
ฉันสามารถรับส่วนลดได้หรือไม่?
ไม่ จำนวนเงินค่าไถ่จะคำนวณตามจำนวนไฟล์สำนักงานที่เข้ารหัสและไม่ได้ให้ส่วนลด ข้อความดังกล่าวทั้งหมดจะถูกละเว้นโดยอัตโนมัติ หากคุณต้องการไฟล์บางไฟล์จริงๆ ให้ซิปไฟล์แล้วอัปโหลดไว้ที่ใดที่หนึ่ง เราจะถอดรหัสด้วยราคา 1 ไฟล์ = 1$
Bitcoin คืออะไร?
อ่าน bitcoin.org
จะซื้อ bitcoins ได้ที่ไหน?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (วิธีที่เร็วที่สุด)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
ไบแนนซ์.คอม
หรือใช้ google.com เพื่อหาข้อมูลว่าจะซื้อได้ที่ไหน
การรับประกันว่าฉันจะได้รับไฟล์คืนอยู่ที่ไหน
ความจริงที่ว่าเราสามารถถอดรหัสไฟล์สุ่มของคุณได้นั้นรับประกันได้ มันไม่มีเหตุผลที่เราจะหลอกลวงคุณ
ฉันจะได้รับรหัสและโปรแกรมถอดรหัสหลังจากชำระเงินได้เร็วแค่ไหน?
ตามกฎแล้วในช่วง 15 นาที
โปรแกรมถอดรหัสทำงานอย่างไร?
มันง่าย คุณต้องเรียกใช้ซอฟต์แวร์ของเรา โปรแกรมจะถอดรหัสไฟล์ที่เข้ารหัสทั้งหมดบน HDD ของคุณโดยอัตโนมัติ'
รายละเอียดระบบไฟล์
# | ชื่อไฟล์ | MD5 |
การตรวจจับ
การ ตรวจจับ: จำนวนกรณีที่ได้รับการยืนยันและสงสัยว่าเป็นภัยคุกคามที่ตรวจพบในคอมพิวเตอร์ที่ติดไวรัสตามที่ SpyHunter รายงาน
|
---|---|---|---|
1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |