Gayahin ang Ransomware
Banta ng Scorecard
EnigmaSoft Threat Scorecard
Ang EnigmaSoft Threat Scorecards ay mga ulat sa pagtatasa para sa iba't ibang banta ng malware na nakolekta at nasuri ng aming research team. Ang EnigmaSoft Threat Scorecards ay sinusuri at niraranggo ang mga banta gamit ang ilang sukatan kabilang ang totoong mundo at potensyal na mga kadahilanan ng panganib, mga uso, dalas, pagkalat, at pagtitiyaga. Regular na ina-update ang EnigmaSoft Threat Scorecards batay sa aming data at sukatan ng pananaliksik at kapaki-pakinabang para sa malawak na hanay ng mga user ng computer, mula sa mga end user na naghahanap ng mga solusyon upang alisin ang malware sa kanilang mga system hanggang sa mga eksperto sa seguridad na nagsusuri ng mga banta.
Ang EnigmaSoft Threat Scorecards ay nagpapakita ng iba't ibang kapaki-pakinabang na impormasyon, kabilang ang:
Ranking: Ang pagraranggo ng isang partikular na banta sa Threat Database ng EnigmaSoft.
Antas ng Kalubhaan: Ang tinutukoy na antas ng kalubhaan ng isang bagay, na kinakatawan ayon sa numero, batay sa aming proseso sa pagmomodelo ng panganib at pananaliksik, gaya ng ipinaliwanag sa aming Pamantayan sa Pagtatasa ng Banta .
Mga Infected na Computer: Ang bilang ng mga nakumpirma at pinaghihinalaang kaso ng isang partikular na banta na nakita sa mga infected na computer gaya ng iniulat ng SpyHunter.
Tingnan din ang Pamantayan sa Pagtatasa ng Banta .
| Antas ng Banta: | 100 % (Mataas) |
| Mga Infected na Computer: | 2 |
| Unang Nakita: | February 8, 2023 |
| Huling nakita: | March 1, 2023 |
| Apektado ang (mga) OS: | Windows |
Ang mga mananaliksik sa cybersecurity ay naglabas ng mga detalye tungkol sa isang dati nang hindi kilalang ransomware strain na sinasamantala ang mga API ng Lahat, isang Windows filename na search engine na binuo ng Voidtools. Ang ransomware na ito, na sinusubaybayan bilang Mimic, ay unang nakita sa ligaw noong Hunyo 2022 at mukhang tina-target ang mga user na nagsasalita ng Russian at English.
Ang Mimic Ransomware ay nilagyan ng maraming kakayahan, tulad ng pagtanggal ng Shadow Volume Copies, pagwawakas ng maraming application at serbisyo, at pag-abuso sa mga function ng Everything32.dll upang i-query ang mga target na file para sa pag-encrypt. Ang banta ay pinaniniwalaan na hindi bababa sa bahagyang binuo mula sa tagabuo ng Conti Ransomware na na-leak noong Marso 2022. Ang impormasyon tungkol sa banta ay inilabas sa isang ulat na inilabas ng mga eksperto sa infosec.
Talaan ng mga Nilalaman
Gayahin ang Infection Chain ng Ransomware
Ang banta ng Mimic ay naka-deploy sa mga nalabag na device bilang isang executable na file na, sa turn, ay bumababa ng maraming binary, kabilang ang isang archive na protektado ng password na itinago bilang Everything64.dll. Ang archive na ito ay naglalaman ng ransomware payload. Kasama rin dito ang mga tool para sa hindi pagpapagana ng Windows Defender at mga lehitimong sdel binary.
Kapag naisakatuparan ang Mimic Ransomware, ibababa nito ang mga bahagi nito sa folder na %Temp%/7zipSfx at i-extract ang Everything64.dll na protektado ng password sa parehong direktoryo gamit ang 7za.exe na may command na: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. Bukod pa rito, magda-drop ito ng session key file na tinatawag na session.tmp sa parehong direktoryo, na gagamitin para sa pagpapatuloy ng pag-encrypt kung sakaling maantala ang proseso.
Pagkatapos, kokopyahin ng Mimic Ransomware ang lahat ng nalaglag na file sa '%LocalAppData%{Random GUID}\' bago palitan ang pangalan ng sarili sa 'bestplacetolive.exe' at tanggalin ang orihinal na mga file mula sa %Temp%.
Ang Mga Kakayahang Nagbabanta ng Mimic Ransomware
Gumagamit ang Mimic Ransomware ng maraming thread at ang CreateThread function upang mabilis na mag-encrypt ng mga file, na nagpapahirap sa mga mananaliksik ng seguridad na suriin. Ito ay may malawak na hanay ng mga kakayahan, tulad ng pagkolekta ng impormasyon ng system, paglikha ng pagtitiyaga sa pamamagitan ng RUN key, pag-bypass sa User Account Control (UAC), hindi pagpapagana ng Windows Defender at telemetry, pag-activate ng mga anti-shutdown na hakbang, pagwawakas ng mga proseso at serbisyo, nakakasagabal sa ang System Recovery at higit pa.
Upang makamit ang mga layunin sa pag-encrypt nito, inaabuso ng Mimic Ransomware ang Everything32.dll - isang lehitimong Windows filename search engine - upang mag-query ng ilang partikular na extension ng file at mga filename upang makuha ang kanilang mga landas, para sa pag-encrypt o upang ibukod ang mga ito sa proseso ng pag-encrypt. Pagkatapos i-encrypt ang mga target na file, idaragdag ng banta ang extension na '.QUIETPLACE' sa kanilang mga pangalan. Nagpapakita ang banta ng maraming mensaheng humihingi ng ransom - isa sa panahon ng proseso ng pagsisimula, isa bilang isang text file na pinangalanang 'Decrypt_me.txt,' at isa pa na ipinapakita sa isang pop-up window sa screen ng device.
Ang buong teksto ng mga kahilingan ng Mimic Ransomware na makikita sa pop-up window at text file ay:
'Lahat ng iyong mga file ay na-encrypt gamit ang Aming virus.
Ang iyong natatanging ID:Maaari kang bumili ng ganap na pag-decryption ng iyong mga file
Ngunit bago ka magbayad, maaari mong tiyakin na maaari naming talagang i-decrypt ang alinman sa iyong mga file.
Ang encryption key at ID ay natatangi sa iyong computer, kaya garantisadong maibabalik mo ang iyong mga file.Na gawin ito:
1) Ipadala ang iyong natatanging id - at max 3 file para sa pag-decryption ng pagsubok
ANG AMING MGA CONTACT
1.1)TOX messenger (mabilis at hindi kilala)
hxxps://tox.chat/download.html
I-install ang qtox
pindutin ang kumanta
lumikha ng iyong sariling pangalan
Pindutin ang plus
Ilagay mo doon ang tox ID ko
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
At idagdag ako/sumulat ng mensahe
1.2) ICQ Messenger
ICQ live chat na gumagana 24/7 - @mcdonaldsdebtzhlob
I-install ang ICQ software sa iyong PC dito hxxps://icq.com/windows/ o sa iyong smartphone maghanap ng "ICQ" sa Appstore / Google market
Sumulat sa aming ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3)Skype
MCDONALDSDEBTZHLOB DECRYPTION
4)Mail (magsulat lamang sa mga kritikal na sitwasyon bcs ang iyong email ay maaaring hindi maihatid o makuha sa spam) mcdonaldsdebtzhlob@onionmail.orgSa linya ng paksa pakisulat ang iyong decryption ID: -
Pagkatapos ng pag-decryption, ipapadala namin sa iyo ang mga na-decrypt na file at isang natatanging bitcoin wallet para sa pagbabayad.
Pagkatapos ng pagbabayad ng ransom para sa Bitcoin, padadalhan ka namin ng decryption program at mga tagubilin. Kung maaari naming i-decrypt ang iyong mga file, wala kaming dahilan para linlangin ka pagkatapos ng pagbabayad.FAQ:
Maaari ba akong makakuha ng diskwento?
Hindi. Ang halaga ng ransom ay kinakalkula batay sa bilang ng mga naka-encrypt na file ng opisina at hindi ibinigay ang mga diskwento. Lahat ng naturang mensahe ay awtomatikong babalewalain. Kung gusto mo lang ng ilan sa mga file, i-zip ang mga ito at i-upload ang mga ito sa kung saan. Ide-decode namin ang mga ito para sa presyo ng 1 file = 1$.
Ano ang Bitcoin?
basahin ang bitcoin.org
Saan makakabili ng bitcoins?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (pinakamabilis na paraan)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
o gamitin ang google.com para maghanap ng impormasyon kung saan ito bibilhin
Nasaan ang garantiya na matatanggap ko ang aking mga file pabalik?
Ang mismong katotohanan na maaari naming i-decrypt ang iyong mga random na file ay isang garantiya. Walang saysay na dayain ka namin.
Gaano kabilis ko matatanggap ang key at decryption program pagkatapos ng pagbabayad?
Bilang isang patakaran, sa loob ng 15 min
Paano gumagana ang decryption program?
Simple lang. Kailangan mong patakbuhin ang aming software. Awtomatikong ide-decrypt ng program ang lahat ng naka-encrypt na file sa iyong HDD.'
Mga Detalye ng File System
| # | Pangalan ng File | MD5 |
Mga pagtuklas
Mga Detection: Ang bilang ng mga nakumpirma at pinaghihinalaang kaso ng isang partikular na banta na nakita sa mga nahawaang computer gaya ng iniulat ng SpyHunter.
|
|---|---|---|---|
| 1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |
