เลียนแบบ Ransomware

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดเกี่ยวกับแรนซัมแวร์สายพันธุ์ที่ไม่รู้จักก่อนหน้านี้ซึ่งใช้ประโยชน์จาก APIs of Everything ซึ่งเป็นเครื่องมือค้นหาชื่อไฟล์ Windows ที่พัฒนาโดย Voidtools แรนซั่มแวร์นี้ซึ่งถูกติดตามในชื่อ Mimic ถูกพบครั้งแรกในเดือนมิถุนายน 2022 และดูเหมือนว่าจะกำหนดเป้าหมายทั้งผู้ใช้ที่พูดภาษารัสเซียและภาษาอังกฤษ

Mimic Ransomware มาพร้อมกับความสามารถหลายอย่าง เช่น การลบ Shadow Volume Copies การยกเลิกแอปพลิเคชันและบริการหลายรายการ และการใช้ฟังก์ชัน Everything32.dll ในทางที่ผิดเพื่อค้นหาไฟล์เป้าหมายสำหรับการเข้ารหัส เชื่อกันว่าภัยคุกคามนี้ได้รับการพัฒนาอย่างน้อยบางส่วนจากตัวสร้าง Conti Ransomware ที่รั่วไหลออกมาในเดือนมีนาคม 2565 ข้อมูลเกี่ยวกับภัยคุกคามได้รับการเผยแพร่ในรายงานที่เผยแพร่โดยผู้เชี่ยวชาญของ Infosec

ห่วงโซ่การติดเชื้อเลียนแบบของ Ransomware

ภัยคุกคาม Mimic ถูกนำไปใช้กับอุปกรณ์ที่ถูกละเมิดเป็นไฟล์ปฏิบัติการซึ่งในทางกลับกันจะทิ้งไบนารีหลายตัว รวมถึงไฟล์เก็บถาวรที่ป้องกันด้วยรหัสผ่านซึ่งปลอมเป็น Everything64.dll ไฟล์เก็บถาวรนี้มีเพย์โหลดแรนซัมแวร์ นอกจากนี้ยังมีเครื่องมือสำหรับการปิดใช้งาน Windows Defender และไบนารี sdel ที่ถูกต้อง

เมื่อมีการเรียกใช้งาน Mimic Ransomware มันจะปล่อยส่วนประกอบของมันไปยังโฟลเดอร์ %Temp%/7zipSfx และแตกไฟล์ Everything64.dll ที่ป้องกันด้วยรหัสผ่านไปยังไดเร็กทอรีเดียวกันโดยใช้ 7za.exe ด้วยคำสั่ง: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll นอกจากนี้ จะปล่อยไฟล์คีย์เซสชันชื่อ session.tmp ไปยังไดเร็กทอรีเดียวกัน ซึ่งจะใช้สำหรับการเข้ารหัสต่อไปในกรณีที่กระบวนการหยุดชะงัก

หลังจากนั้น Mimic Ransomware จะคัดลอกไฟล์ที่ทิ้งทั้งหมดไปที่ '%LocalAppData%{Random GUID}\' ก่อนที่จะเปลี่ยนชื่อตัวเองเป็น 'bestplacetolive.exe' และลบไฟล์ต้นฉบับจาก %Temp%

ความสามารถที่เป็นอันตรายของ Mimic Ransomware

Mimic Ransomware ใช้หลายเธรดและฟังก์ชัน CreateThread เพื่อเข้ารหัสไฟล์อย่างรวดเร็ว ทำให้นักวิจัยด้านความปลอดภัยวิเคราะห์ได้ยาก มีความสามารถที่หลากหลาย เช่น การรวบรวมข้อมูลระบบ การสร้างการคงอยู่ผ่านปุ่ม RUN การข้ามการควบคุมบัญชีผู้ใช้ (UAC) การปิดใช้งาน Windows Defender และ telemetry การเปิดใช้งานมาตรการต่อต้านการปิดระบบ ยุติกระบวนการและบริการ การแทรกแซง การกู้คืนระบบ และอื่นๆ

เพื่อให้บรรลุเป้าหมายการเข้ารหัส Mimic Ransomware ละเมิด Everything32.dll ซึ่งเป็นโปรแกรมค้นหาชื่อไฟล์ Windows ที่ถูกต้อง เพื่อค้นหานามสกุลไฟล์และชื่อไฟล์บางอย่างเพื่อดึงเส้นทาง ไม่ว่าจะเพื่อเข้ารหัสหรือแยกออกจากกระบวนการเข้ารหัส หลังจากเข้ารหัสไฟล์เป้าหมายแล้ว ภัยคุกคามจะเพิ่มนามสกุล '.QUIETPLACE' ต่อท้ายชื่อ ภัยคุกคามแสดงข้อความเรียกค่าไถ่หลายข้อความ ข้อความหนึ่งระหว่างกระบวนการเริ่มต้น ข้อความหนึ่งเป็นไฟล์ข้อความชื่อ 'Decrypt_me.txt' และอีกข้อความหนึ่งที่แสดงในหน้าต่างป๊อปอัปบนหน้าจอของอุปกรณ์

ข้อความทั้งหมดของความต้องการของ Mimic Ransomware ที่พบในหน้าต่างป๊อปอัปและไฟล์ข้อความคือ:

'ไฟล์ทั้งหมดของคุณได้รับการเข้ารหัสด้วยไวรัสของเรา
ID เฉพาะของคุณ:

คุณสามารถซื้อการถอดรหัสไฟล์ของคุณได้อย่างสมบูรณ์
แต่ก่อนที่คุณจะชำระเงิน คุณสามารถตรวจสอบให้แน่ใจว่าเราสามารถถอดรหัสไฟล์ใดๆ ของคุณได้จริงๆ
คีย์เข้ารหัสและ ID นั้นไม่ซ้ำกันสำหรับคอมพิวเตอร์ของคุณ ดังนั้นคุณจึงรับประกันได้ว่าจะสามารถส่งคืนไฟล์ของคุณได้

เพื่อทำสิ่งนี้:
1) ส่งรหัสเฉพาะของคุณ - และไฟล์สูงสุด 3 ไฟล์เพื่อทดสอบการถอดรหัส
ติดต่อเรา
1.1) TOX messenger (รวดเร็วและไม่เปิดเผยตัวตน)
hxxps://tox.chat/download.html
ติดตั้ง qtox
กดร้องเพลง
สร้างชื่อของคุณเอง
กดบวก
ใส่รหัสสารพิษของฉัน
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
และเพิ่มฉัน/เขียนข้อความ
1.2) ICQ เมสเซนเจอร์
แชทสดของ ICQ ซึ่งใช้งานได้ทุกวันตลอด 24 ชั่วโมง - @mcdonaldsdebtzhlob
ติดตั้งซอฟต์แวร์ ICQ บนพีซีของคุณที่นี่ hxxps://icq.com/windows/ หรือบนสมาร์ทโฟนของคุณค้นหา "ICQ" ใน Appstore / Google market
เขียนถึง ICQ ของเรา @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) สไกป์
MCDONALDSDEBTZHLOB คำอธิบาย
4) จดหมาย (เขียนเฉพาะในสถานการณ์ที่สำคัญเพราะอีเมลของคุณอาจไม่ถูกส่งหรือได้รับสแปม) mcdonaldsdebtzhlob@onionmail.org

ในหัวเรื่องโปรดเขียนรหัสถอดรหัสของคุณ: -

หลังจากถอดรหัส เราจะส่งไฟล์ที่ถอดรหัสและกระเป๋าเงิน bitcoin เฉพาะสำหรับการชำระเงินให้คุณ
หลังจากชำระค่าไถ่ Bitcoin เราจะส่งโปรแกรมถอดรหัสและคำแนะนำให้คุณ หากเราสามารถถอดรหัสไฟล์ของคุณได้ เราไม่มีเหตุผลที่จะหลอกลวงคุณหลังจากชำระเงิน

คำถามที่พบบ่อย:
ฉันสามารถรับส่วนลดได้หรือไม่?
ไม่ จำนวนเงินค่าไถ่จะคำนวณตามจำนวนไฟล์สำนักงานที่เข้ารหัสและไม่ได้ให้ส่วนลด ข้อความดังกล่าวทั้งหมดจะถูกละเว้นโดยอัตโนมัติ หากคุณต้องการไฟล์บางไฟล์จริงๆ ให้ซิปไฟล์แล้วอัปโหลดไว้ที่ใดที่หนึ่ง เราจะถอดรหัสด้วยราคา 1 ไฟล์ = 1$
Bitcoin คืออะไร?
อ่าน bitcoin.org
จะซื้อ bitcoins ได้ที่ไหน?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (วิธีที่เร็วที่สุด)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
ไบแนนซ์.คอม
หรือใช้ google.com เพื่อหาข้อมูลว่าจะซื้อได้ที่ไหน
การรับประกันว่าฉันจะได้รับไฟล์คืนอยู่ที่ไหน
ความจริงที่ว่าเราสามารถถอดรหัสไฟล์สุ่มของคุณได้นั้นรับประกันได้ มันไม่มีเหตุผลที่เราจะหลอกลวงคุณ
ฉันจะได้รับรหัสและโปรแกรมถอดรหัสหลังจากชำระเงินได้เร็วแค่ไหน?
ตามกฎแล้วในช่วง 15 นาที
โปรแกรมถอดรหัสทำงานอย่างไร?
มันง่าย คุณต้องเรียกใช้ซอฟต์แวร์ของเรา โปรแกรมจะถอดรหัสไฟล์ที่เข้ารหัสทั้งหมดบน HDD ของคุณโดยอัตโนมัติ'