มิเรอร์ แรนซัมแวร์

หลังจากวิเคราะห์ภัยคุกคามมัลแวร์ที่อาจเกิดขึ้นอย่างละเอียดถี่ถ้วน นักวิจัยได้ระบุอย่างแน่ชัดว่า MIRROR เป็นตัวแปรเรียกค่าไถ่ วัตถุประสงค์หลักของภัยคุกคาม MIRROR คือการเข้ารหัสไฟล์ที่อยู่ในอุปกรณ์ที่ถูกบุกรุก นอกจากนี้ ยังดำเนินการเปลี่ยนชื่อไฟล์และออกบันทึกเรียกค่าไถ่ 2 รายการ โดยรายการหนึ่งอยู่ในรูปแบบของหน้าต่างป๊อปอัป และอีกรายการเป็นไฟล์ข้อความชื่อ 'info-MIRROR.txt'

MIRROR Ransomware ใช้หลักการตั้งชื่อเฉพาะสำหรับไฟล์ที่เข้ารหัส โดยต่อท้าย ID ของเหยื่อ ที่อยู่อีเมล 'tpyrcedrorrim@tuta.io' และนามสกุล '.Mr' ตัวอย่างเช่น แปลง '1.pdf' เป็น '1.pdf.id-9ECFA74E.[tpyrcedrorrim@tuta.io].Mr,' และ '2.png' จะกลายเป็น '2.png.id-9ECFA74E.[tpyrcedrorrim@ tuta.io].Mr,' และอื่นๆ ภัยคุกคามนี้ได้รับการจัดประเภทเป็นตัวแปรภายในตระกูล Dharma Ransomware

MIRROR Ransomware เป็นมากกว่าการเข้ารหัสไฟล์

นอกเหนือจากการเข้ารหัสไฟล์แล้ว MIRROR ยังใช้มาตรการเชิงกลยุทธ์เพื่อลดความปลอดภัยของระบบเป้าหมายอีกด้วย กลยุทธ์หนึ่งดังกล่าวเกี่ยวข้องกับการปิดการใช้งานไฟร์วอลล์ ซึ่งจะเพิ่มความเสี่ยงของระบบต่อกิจกรรมที่เป็นอันตรายที่ควบคุมโดยแรนซัมแวร์ นอกจากนี้ MIRROR จะดำเนินการโดยเจตนาเพื่อลบ Shadow Volume Copies กำจัดจุดคืนค่าที่อาจเกิดขึ้นได้อย่างมีประสิทธิภาพและขัดขวางความพยายามในการกู้คืน

MIRROR ใช้ประโยชน์จากช่องโหว่ภายในบริการ Remote Desktop Protocol (RDP) ในฐานะเวกเตอร์หลักสำหรับการติดไวรัส โดยทั่วไปเกี่ยวข้องกับการใช้ประโยชน์จากข้อมูลรับรองบัญชีที่ไม่รัดกุมผ่านวิธีการต่างๆ เช่น การใช้กำลังดุร้ายและการโจมตีด้วยพจนานุกรม ด้วยการใช้ประโยชน์จากเทคนิคเหล่านี้ แรนซัมแวร์จึงสามารถเข้าถึงระบบโดยไม่ได้รับอนุญาต โดยเฉพาะอย่างยิ่งระบบที่มีการรักษาความปลอดภัยบัญชีที่มีการจัดการไม่เพียงพอ

นอกจากนี้ MIRROR ยังแสดงความสามารถในการดึงข้อมูลตำแหน่ง ทำให้สามารถแยกแยะบริบททางภูมิศาสตร์ของระบบที่ติดไวรัสได้ โดยเฉพาะอย่างยิ่ง มีความสามารถในการแยกสถานที่ที่กำหนดไว้ล่วงหน้าออกจากขอบเขตการแยกข้อมูล นอกจากนี้ MIRROR ยังรวมเอากลไกการคงอยู่ เพื่อให้มั่นใจว่าสามารถรักษาฐานภายในระบบที่ถูกบุกรุกได้เป็นระยะเวลานาน

ผู้ที่ตกเป็นเหยื่อของ MIRROR Ransomware ถูกรีดไถเพื่อเงิน

บันทึกค่าไถ่ของ MIRROR Ransomware ทำหน้าที่เป็นการสื่อสารจากผู้โจมตีไปยังเหยื่อ โดยระบุอย่างชัดเจนว่าไฟล์ทั้งหมดของเหยื่อได้รับการเข้ารหัส โดยสรุปแนวทางที่เป็นไปได้สำหรับการกู้คืนไฟล์ โดยสั่งให้เหยื่อเริ่มต้นการติดต่อผ่านที่อยู่อีเมลที่ระบุ (tpyrcedrorrim@tuta.io) และระบุตัวระบุที่ไม่ซ้ำกัน

เพื่อเป็นทางเลือกในการสื่อสาร บันทึกดังกล่าวยังให้ที่อยู่อีเมลอื่นด้วย (mirrorrorrim@cock.li) โดยเฉพาะอย่างยิ่ง หมายเหตุดังกล่าวไม่สนับสนุนการใช้ตัวกลางในการสื่อสาร โดยอ้างถึงความเสี่ยงที่อาจเกิดขึ้น เช่น การคิดเงินมากเกินไป การเดบิตที่ไม่ยุติธรรม และการปฏิเสธธุรกรรม ผู้โจมตียืนยันความสามารถในการให้บริการกู้คืนข้อมูลที่เข้ารหัสและเสนอการรับประกัน รวมถึงการสาธิตการกู้คืนที่เกี่ยวข้องกับไฟล์สูงสุดสามไฟล์เพื่อยืนยันความสามารถของพวกเขา

นอกจากนี้ บันทึกเรียกค่าไถ่ยังออกคำแนะนำเตือนแก่เหยื่อ โดยให้คำแนะนำอย่างชัดเจนต่อการเปลี่ยนชื่อไฟล์ที่เข้ารหัส นอกจากนี้ยังเตือนไม่ให้พยายามถอดรหัสผ่านซอฟต์แวร์บุคคลที่สาม โดยเน้นถึงผลที่ตามมาที่อาจเกิดขึ้นจากการสูญหายของข้อมูลอย่างถาวรหรือเสี่ยงต่อการถูกหลอกลวง จุดประสงค์คือการชี้แนะเหยื่อในแนวทางปฏิบัติที่ปลอดภัยที่สุดเพื่อเพิ่มโอกาสในการกู้คืนไฟล์ได้สำเร็จในขณะที่ลดความเสี่ยงที่อาจเกิดขึ้น

ใช้มาตรการเพื่อเสริมความแข็งแกร่งให้กับอุปกรณ์ของคุณจากการติดไวรัสแรนซัมแวร์

แรนซัมแวร์ก่อให้เกิดภัยคุกคามที่สำคัญต่อความปลอดภัยของอุปกรณ์ดิจิทัล โดยมีผลกระทบที่อาจเกิดขึ้นตั้งแต่การสูญหายของข้อมูลไปจนถึงการขู่กรรโชกทางการเงิน การใช้มาตรการเชิงรุกเป็นสิ่งสำคัญในการเสริมความแข็งแกร่งให้กับอุปกรณ์จากการติดไวรัสดังกล่าว ต่อไปนี้เป็นห้าขั้นตอนที่มีประสิทธิภาพที่ผู้ใช้สามารถดำเนินการได้:

• อัปเดตระบบปฏิบัติการและซอฟต์แวร์เป็นประจำ : การดูแลระบบปฏิบัติการและซอฟต์แวร์ให้ทันสมัยถือเป็นสิ่งสำคัญ เนื่องจากการอัพเดตมักมีแพตช์รักษาความปลอดภัยที่แก้ไขช่องโหว่ ตรวจสอบและใช้การอัปเดตเป็นประจำเพื่อลดความเสี่ยงของแรนซัมแวร์ที่ใช้ประโยชน์จากจุดอ่อนที่ทราบ
• ติดตั้งและบำรุงรักษาซอฟต์แวร์รักษาความปลอดภัย : การใช้ซอฟต์แวร์รักษาความปลอดภัยที่เชื่อถือได้จะช่วยเพิ่มการป้องกันแรนซัมแวร์อีกชั้นหนึ่ง ตรวจสอบให้แน่ใจว่าโปรแกรมป้องกันมัลแวร์ได้รับการอัปเดตเป็นประจำและดำเนินการสแกนตามกำหนดเวลาเพื่อตรวจจับและกำจัดภัยคุกคามที่อาจเกิดขึ้นก่อนที่จะสามารถโจมตีอุปกรณ์ของคุณได้
• ใช้ความระมัดระวังด้วยไฟล์แนบอีเมลและลิงก์ : Ransomware มักจะแทรกซึมระบบผ่านอีเมลฟิชชิ่งที่มีไฟล์แนบหรือลิงก์ที่เป็นอันตราย ใช้ความระมัดระวังอย่างมากเมื่อเปิดอีเมลจากผู้ส่งที่ไม่รู้จัก พยายามอย่าคลิกลิงก์ที่น่าสงสัย และละเว้นจากการดาวน์โหลดไฟล์แนบ เว้นแต่จะได้รับการตรวจสอบความถูกต้องตามกฎหมาย
• สำรองข้อมูลเป็นประจำ : การสร้างการสำรองข้อมูลที่จำเป็นเป็นประจำถือเป็นมาตรการป้องกันที่สำคัญ ในการโจมตีแรนซัมแวร์ การสำรองข้อมูลล่าสุดทำให้ผู้ใช้สามารถกู้คืนไฟล์ของตนได้โดยไม่ต้องยอมจำนนต่อการขู่กรรโชก จัดเก็บข้อมูลสำรองไว้ในอุปกรณ์ภายนอกหรือบริการคลาวด์ที่ปลอดภัย
• ใช้มาตรการรักษาความปลอดภัยเครือข่าย : การเสริมสร้างความปลอดภัยเครือข่ายสามารถขัดขวางการโจมตีของแรนซัมแวร์ได้ ใช้ไฟร์วอลล์และระบบตรวจจับ/ป้องกันการบุกรุก ใช้รหัสผ่านที่ไม่ซ้ำกันและแข็งแกร่งสำหรับอุปกรณ์และบัญชีทั้งหมด และพิจารณาการแบ่งกลุ่มเครือข่ายเพื่อจำกัดผลกระทบที่อาจเกิดขึ้นจากการติดไวรัสบนทั้งระบบ

ด้วยการใช้มาตรการเหล่านี้ ผู้ใช้จะสามารถเพิ่มความยืดหยุ่นของอุปกรณ์ของตนต่อแรนซัมแวร์ได้อย่างมาก ปกป้องข้อมูลอันมีค่าของตน และรักษาความสมบูรณ์ของสภาพแวดล้อมดิจิทัลของตน

ข้อความเต็มของบันทึกค่าไถ่หลักที่ MIRROR Ransomware ทิ้งไว้คือ:

'MIRROR
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: tpyrcedrorrim@tuta.io YOUR ID 9ECFA84E
If you have not answered by mail within 12 hours, write to us by another mail:mirrorrorrim@cock.li
We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.
-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.
Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

ไฟล์ข้อความที่ถูกทิ้งโดย MIRROR Ransomware มีข้อความต่อไปนี้:

'ข้อมูลทั้งหมดของคุณถูกล็อคเรา

คุณต้องการที่จะกลับมา?

เขียนอีเมล tpyrcedrorrim@tuta.io หรือ mirrorrorrim@cock.li'