Імітація програм-вимагачів

Дослідники з кібербезпеки оприлюднили подробиці про раніше невідомий штам програм-вимагачів, який використовує переваги API Everything, системи пошуку файлів Windows, розробленої Voidtools. Це програмне забезпечення-вимагач, яке відстежується як Mimic, було вперше помічено в дикій природі в червні 2022 року та, схоже, націлене як на російськомовних, так і на англомовних користувачів.

Програмне забезпечення Mimic Ransomware оснащено кількома можливостями, такими як видалення тіньових копій томів, завершення роботи кількох програм і служб і зловживання функціями Everything32.dll для запиту цільових файлів на шифрування. Вважається, що загроза принаймні частково була розроблена з конструктора програм-вимагачів Conti , який був витік ще в березні 2022 року. Інформація про загрозу була оприлюднена у звіті, опублікованому експертами з питань захисту інформації.

Імітація ланцюжка зараження програми-вимагача

Загроза Mimic розгортається на зламаних пристроях у вигляді виконуваного файлу, який, у свою чергу, видаляє кілька двійкових файлів, включаючи захищений паролем архів, замаскований під Everything64.dll. Цей архів містить програмне забезпечення-вимагач. Він також містить інструменти для вимкнення Windows Defender і законних двійкових файлів sdel.

Коли Mimic Ransomware запускається, воно скидає свої компоненти в папку %Temp%/7zipSfx і видобує захищений паролем Everything64.dll у той самий каталог за допомогою 7za.exe командою: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. Крім того, він скине файл ключа сеансу під назвою session.tmp до того самого каталогу, який використовуватиметься для продовження шифрування у разі переривання процесу.

Після цього програмне забезпечення-вимагач скопіює всі видалені файли до «%LocalAppData%{Random GUID}\», перш ніж перейменувати себе на «bestplacetolive.exe» та видалить оригінальні файли з %Temp%.

Загрозливі можливості імітаційного програмного забезпечення-вимагача

Програмне забезпечення Mimic Ransomware використовує кілька потоків і функцію CreateThread для швидкого шифрування файлів, що ускладнює аналіз для дослідників безпеки. Він має широкий спектр можливостей, таких як збір системної інформації, створення стійкості за допомогою клавіші RUN, обхід контролю облікових записів користувачів (UAC), відключення Windows Defender і телеметрії, активація заходів запобігання завершенню роботи, завершення процесів і служб, втручання в відновлення системи та інше.

Щоб досягти своїх цілей шифрування, Mimic Ransomware зловживає Everything32.dll — легітимною системою пошуку імен файлів Windows — для запиту певних розширень файлів і імен файлів, щоб отримати їхні шляхи або для шифрування, або для виключення їх із процесу шифрування. Після шифрування цільових файлів загроза додає до їхніх імен розширення «.QUIETPLACE». Загроза відображає кілька повідомлень із вимогою викупу: одне під час запуску, одне у вигляді текстового файлу під назвою «Decrypt_me.txt», а інше відображається у спливаючому вікні на екрані пристрою.

Повний текст вимог Mimic Ransomware, знайдений у спливаючому вікні та текстовому файлі:

«Усі ваші файли були зашифровані нашим вірусом.
Ваш унікальний ID:

Ви можете придбати повне розшифрування ваших файлів
Але перш ніж платити, ви можете переконатися, що ми дійсно можемо розшифрувати будь-які ваші файли.
Ключ шифрування та ідентифікатор унікальні для вашого комп’ютера, тому ви гарантовано зможете повернути свої файли.

Зробити це:
1) Надішліть свій унікальний ідентифікатор і максимум 3 файли для тестового розшифрування
НАШІ КОНТАКТИ
1.1) Месенджер TOX (швидкий і анонімний)
hxxps://tox.chat/download.html
Встановіть qtox
натисніть співати
створити власне ім'я
Натисніть плюс
Додайте туди мій токсикологічний ідентифікатор
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
І додайте мене/напишіть повідомлення
1.2) ICQ Messenger
Живий чат ICQ, який працює 24/7 - @mcdonaldsdebtzhlob
Встановіть програмне забезпечення ICQ на свій комп’ютер тут hxxps://icq.com/windows/ або знайдіть на своєму смартфоні «ICQ» у Appstore/Google market
Пишіть в нашу ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Skype
РОЗШИФРОВКА МАКДОНАЛЬДСБОРГІВ
4)Пошта (пишіть лише в критичних ситуаціях, оскільки ваш лист може не бути доставленим або потрапити в спам) mcdonaldsdebtzhlob@onionmail.org

У рядку теми напишіть свій ідентифікатор розшифровки: -

Після розшифровки ми надішлемо вам розшифровані файли та унікальний біткоін-гаманець для оплати.
Після оплати викупу за біткоіни ми надішлемо вам програму дешифрування та інструкції. Якщо ми зможемо розшифрувати ваші файли, у нас немає причин обманювати вас після оплати.

FAQ:
Чи можу я отримати знижку?
Ні. Сума викупу розраховується на основі кількості зашифрованих офісних файлів і знижки не надаються. Усі такі повідомлення автоматично ігноруватимуться. Якщо вам дійсно потрібні лише деякі файли, заархівуйте їх і завантажте кудись. Ми розкодуємо їх за ціною 1 файл = 1$.
Що таке Bitcoin?
читайте bitcoin.org
Де купити біткоіни?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (найшвидший спосіб)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
або скористайтеся google.com, щоб знайти інформацію, де його купити
Де гарантія, що я отримаю свої файли назад?
Сам факт того, що ми можемо розшифрувати ваші випадкові файли, є гарантією. Нам немає сенсу вас обманювати.
Як швидко я отримаю ключ і програму дешифрування після оплати?
Як правило, протягом 15 хв
Як працює програма дешифрування?
Це просто. Вам потрібно запустити наше програмне забезпечення. Програма автоматично розшифрує всі зашифровані файли на вашому жорсткому диску.