Taklit Fidye Yazılımı

Siber güvenlik araştırmacıları, Voidtools tarafından geliştirilen bir Windows dosya adı arama motoru olan APIs of Everything'ten yararlanan, daha önce bilinmeyen bir fidye yazılımı türü hakkında ayrıntılar yayınladı. Mimic olarak izlenen bu fidye yazılımı, ilk olarak Haziran 2022'de vahşi doğada tespit edildi ve görünüşe göre hem Rusça hem de İngilizce konuşan kullanıcıları hedefliyor.

Mimic Ransomware, Gölge Birim Kopyalarını silmek, birden çok uygulama ve hizmeti sonlandırmak ve şifreleme için hedef dosyaları sorgulamak için Everything32.dll işlevlerini kötüye kullanmak gibi birden çok yetenekle donatılmıştır. Tehdidin en azından kısmen Mart 2022'de sızdırılan Conti Ransomware oluşturucusundan geliştirildiğine inanılıyor. Tehdit hakkında bilgiler, infosec uzmanları tarafından yayınlanan bir raporda yayınlandı.

Fidye Yazılımının Enfeksiyon Zincirini Taklit Et

Taklit tehdidi, ihlal edilen cihazlara çalıştırılabilir bir dosya olarak dağıtılır ve bu da, Everything64.dll olarak gizlenmiş parola korumalı bir arşiv de dahil olmak üzere birden çok ikili dosyayı düşürür. Bu arşiv, fidye yazılımı yükünü içerir. Ayrıca, Windows Defender ve meşru sdel ikili dosyalarını devre dışı bırakmak için araçlar içerir.

Mimic Ransomware yürütüldüğünde, bileşenlerini %Temp%/7zipSfx klasörüne bırakır ve parola korumalı Everything64.dll dosyasını, şu komutla 7za.exe'yi kullanarak aynı dizine çıkarır: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. Ek olarak, aynı dizine session.tmp adında bir oturum anahtarı dosyası bırakacak ve bu dosya, işlemde kesinti olması durumunda şifrelemeye devam etmek için kullanılacaktır.

Daha sonra Mimic Ransomware, kendisini 'bestplacetolive.exe' olarak yeniden adlandırmadan ve orijinal dosyaları %Temp%'ten silmeden önce bırakılan tüm dosyaları '%LocalAppData%{Random GUID}\' konumuna kopyalayacaktır.

Taklit Fidye Yazılımının Tehdit Edici Yetenekleri

Mimic Ransomware, dosyaları hızlı bir şekilde şifrelemek için birden fazla iş parçacığı ve CreateThread işlevi kullanır ve bu da güvenlik araştırmacılarının analiz yapmasını zorlaştırır. Sistem bilgilerini toplama, RUN tuşu ile kalıcılık oluşturma, Kullanıcı Hesabı Denetimini (UAC) atlama, Windows Defender ve telemetriyi devre dışı bırakma, kapanma önleyici önlemleri etkinleştirme, işlemleri ve hizmetleri sonlandırma, sisteme müdahale etme gibi çok çeşitli yeteneklere sahiptir. Sistem Kurtarma ve daha fazlası.

Mimic Ransomware, şifreleme hedeflerine ulaşmak için, meşru bir Windows dosya adı arama motoru olan Everything32.dll'yi, belirli dosya uzantılarını ve dosya adlarını şifrelemek veya şifreleme sürecinden çıkarmak için yollarını almak üzere sorgulamak üzere kötüye kullanır. Hedef dosyaları şifreledikten sonra tehdit, adlarına '.QUIETPLACE' uzantısını ekler. Tehdit birden fazla fidye talep eden mesaj görüntüler - biri başlatma işlemi sırasında, biri 'Decrypt_me.txt' adlı bir metin dosyası olarak ve diğeri cihazın ekranında bir açılır pencerede gösterilen.

Açılır pencerede ve metin dosyasında bulunan Mimic Ransomware taleplerinin tam metni:

'Tüm dosyalarınız Bizim virüsümüzle şifrelendi.
Benzersiz kimliğiniz:

Dosyalarınızın tamamen şifresini çözmeyi satın alabilirsiniz.
Ancak ödeme yapmadan önce, dosyalarınızın şifresini gerçekten çözebileceğimizden emin olabilirsiniz.
Şifreleme anahtarı ve kimliği bilgisayarınıza özeldir, bu nedenle dosyalarınızı iade edebilmeniz garanti edilir.

Bunu yapmak için:
1) Benzersiz kimliğinizi ve şifre çözme testi için en fazla 3 dosya gönderin
BAĞLANTILARIMIZ
1.1)TOX messenger (hızlı ve anonim)
hxxps://tox.chat/download.html
qtox'u yükleyin
basın şarkı söyle
kendi adını yarat
artıya basın
Oraya toksin kimliğimi koy
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
Ve beni ekle/mesaj yaz
1.2)ICQ Messenger
7/24 çalışan ICQ canlı sohbet - @mcdonaldsdebtzhlob
ICQ yazılımını PC'nize buradan hxxps://icq.com/windows/ yükleyin veya akıllı telefonunuzda Appstore / Google pazarında "ICQ" arayın
ICQ'muza yazın @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3)Skype
MCDONALDSDEBTZHLOB ŞİFRESİ
4)Posta (yalnızca kritik durumlarda yazın, e-postanız teslim edilemeyebilir veya istenmeyen postaya düşebilir) mcdonaldsdebtzhlob@onionmail.org

Lütfen konu satırına şifre çözme kimliğinizi yazın: -

Şifre çözme işleminden sonra, size şifresi çözülmüş dosyaları ve ödeme için benzersiz bir bitcoin cüzdanı göndereceğiz.
Bitcoin için fidye ödendikten sonra size bir şifre çözme programı ve talimatları göndereceğiz. Dosyalarınızın şifresini çözebilirsek, ödeme yaptıktan sonra sizi aldatmak için hiçbir nedenimiz yok.

SSS:
İndirim alabilir miyim?
Hayır. Fidye tutarı, şifreli ofis dosyalarının sayısına göre hesaplanır ve indirim sağlanmaz. Tüm bu tür mesajlar otomatik olarak göz ardı edilecektir. Dosyalardan yalnızca bazılarını gerçekten istiyorsanız, sıkıştırın ve bir yere yükleyin. Bunları 1 dosya = 1$ fiyatına çözeceğiz.
Bitcoin nedir?
bitcoin.org'u oku
Bitcoin nereden alınır?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (en hızlı yol)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
veya nereden satın alacağınızı öğrenmek için google.com'u kullanın
Dosyalarımı geri alacağımın garantisi nerede?
Rastgele dosyalarınızın şifresini çözebileceğimiz gerçeği bir garantidir. Sizi aldatmamızın bir anlamı yok.
Ödeme yapıldıktan sonra anahtarı ve şifre çözme programını ne kadar çabuk alacağım?
Kural olarak, 15 dakika boyunca
Şifre çözme programı nasıl çalışır?
Basit. Yazılımımızı çalıştırmanız gerekiyor. Program, HDD'nizdeki tüm şifrelenmiş dosyaların şifresini otomatik olarak çözecektir.'