Bắt chước ransomware

Các nhà nghiên cứu an ninh mạng đã công bố thông tin chi tiết về một chủng ransomware chưa biết trước đây, lợi dụng API của Everything, một công cụ tìm kiếm tên tệp Windows do Voidtools phát triển. Phần mềm tống tiền này, được theo dõi là Mimic, lần đầu tiên được phát hiện ngoài tự nhiên vào tháng 6 năm 2022 và dường như nhắm mục tiêu đến cả người dùng nói tiếng Nga và tiếng Anh.

Mimic Ransomware được trang bị nhiều khả năng, chẳng hạn như xóa Shadow Volume Copies, chấm dứt nhiều ứng dụng và dịch vụ cũng như lạm dụng các chức năng Everything32.dll để truy vấn các tệp mục tiêu để mã hóa. Mối đe dọa này được cho là đã được phát triển ít nhất một phần từ trình tạo Conti Ransomware đã bị rò rỉ vào tháng 3 năm 2022. Thông tin về mối đe dọa này đã được tiết lộ trong một báo cáo do các chuyên gia infosec công bố.

Bắt chước chuỗi lây nhiễm của Ransomware

Mối đe dọa Mimic được triển khai trên các thiết bị bị vi phạm dưới dạng một tệp thực thi, sau đó loại bỏ nhiều tệp nhị phân, bao gồm một kho lưu trữ được bảo vệ bằng mật khẩu được ngụy trang thành Everything64.dll. Kho lưu trữ này chứa tải trọng ransomware. Nó cũng bao gồm các công cụ để vô hiệu hóa Windows Defender và nhị phân sdel hợp pháp.

Khi Mimic Ransomware được thực thi, nó sẽ thả các thành phần của nó vào thư mục %Temp%/7zipSfx và giải nén Everything64.dll được bảo vệ bằng mật khẩu vào cùng một thư mục bằng 7za.exe bằng lệnh: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. Ngoài ra, nó sẽ thả một tệp khóa phiên có tên là session.tmp vào cùng một thư mục, tệp này sẽ được sử dụng để tiếp tục mã hóa trong trường hợp quá trình bị gián đoạn.

Sau đó, Mimic Ransomware sẽ sao chép tất cả các tệp bị xóa vào '%LocalAppData%{Random GUID}\' trước khi tự đổi tên thành 'bestplacetolive.exe' và xóa các tệp gốc khỏi %Temp%.

Khả năng đe dọa của phần mềm tống tiền bắt chước

Mimic Ransomware sử dụng nhiều luồng và chức năng CreateThread để mã hóa các tệp một cách nhanh chóng, gây khó khăn cho các nhà nghiên cứu bảo mật trong việc phân tích. Nó có nhiều khả năng, chẳng hạn như thu thập thông tin hệ thống, tạo sự bền bỉ thông qua phím RUN, bỏ qua Kiểm soát tài khoản người dùng (UAC), vô hiệu hóa Windows Defender và đo từ xa, kích hoạt các biện pháp chống tắt máy, chấm dứt các quy trình và dịch vụ, can thiệp vào Phục hồi hệ thống và hơn thế nữa.

Để đạt được các mục tiêu mã hóa của mình, Ransomware bắt chước lạm dụng Everything32.dll - một công cụ tìm kiếm tên tệp hợp pháp của Windows - để truy vấn các phần mở rộng tệp và tên tệp nhất định để truy xuất đường dẫn của chúng, để mã hóa hoặc loại trừ chúng khỏi quy trình mã hóa. Sau khi mã hóa các tệp mục tiêu, mối đe dọa sẽ thêm phần mở rộng '.QUIETPLACE' vào tên của chúng. Mối đe dọa hiển thị nhiều thông báo đòi tiền chuộc - một thông báo trong quá trình khởi động, một thông báo dưới dạng tệp văn bản có tên 'Decrypt_me.txt' và một thông báo khác được hiển thị trong cửa sổ bật lên trên màn hình của thiết bị.

Toàn văn yêu cầu của Mimic Ransomware được tìm thấy trong cửa sổ bật lên và tệp văn bản là:

'Tất cả các tệp của bạn đã được mã hóa bằng vi-rút của chúng tôi.
ID duy nhất của bạn:

Bạn có thể mua giải mã đầy đủ các tệp của mình
Nhưng trước khi thanh toán, bạn có thể đảm bảo rằng chúng tôi thực sự có thể giải mã bất kỳ tệp nào của bạn.
Khóa mã hóa và ID là duy nhất cho máy tính của bạn, vì vậy bạn được đảm bảo có thể trả lại các tệp của mình.

Để làm điều này:
1) Gửi id duy nhất của bạn - và tối đa 3 tệp để giải mã thử nghiệm
LIÊN HỆ CỦA CHÚNG TÔI
1.1) Trình nhắn tin TOX (nhanh và ẩn danh)
hxxps://tox.chat/download.html
Cài đặt qtox
nhấn hát lên
tạo tên riêng của bạn
Nhấn dấu cộng
Đặt ở đó ID độc tố của tôi
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
Và thêm tôi/viết tin nhắn
1.2) Trình nhắn tin ICQ
Trò chuyện trực tiếp ICQ hoạt động 24/7 - @mcdonaldsdebtzhlob
Cài đặt phần mềm ICQ trên PC của bạn tại đây hxxps://icq.com/windows/ hoặc trên điện thoại thông minh của bạn tìm kiếm "ICQ" trong Appstore / Google market
Viết thư cho ICQ của chúng tôi @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Skype
GIẢI MÃ MCDONALDSDEBTZHLOB
4)Thư (chỉ viết trong những tình huống quan trọng vì email của bạn có thể không được gửi hoặc bị đưa vào thư rác) mcdonaldsdebtzhlob@onionmail.org

Trong dòng chủ đề, vui lòng viết ID giải mã của bạn: -

Sau khi giải mã, chúng tôi sẽ gửi cho bạn các tệp được giải mã và một ví bitcoin duy nhất để thanh toán.
Sau khi thanh toán tiền chuộc bằng Bitcoin, chúng tôi sẽ gửi cho bạn chương trình giải mã và hướng dẫn. Nếu chúng tôi có thể giải mã các tệp của bạn, chúng tôi không có lý do gì để lừa dối bạn sau khi thanh toán.

Câu hỏi thường gặp:
Tôi có thể được giảm giá không?
Không. Số tiền chuộc được tính dựa trên số lượng tệp văn phòng được mã hóa và không được giảm giá. Tất cả các tin nhắn như vậy sẽ tự động bị bỏ qua. Nếu bạn thực sự chỉ muốn một số tệp, hãy nén chúng và tải chúng lên một nơi nào đó. Chúng tôi sẽ giải mã chúng với giá 1 tệp = 1 đô la.
Bitcoin là gì?
đọc bitcoin.org
Mua bitcoin ở đâu?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (cách nhanh nhất)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
hoặc sử dụng google.com để tìm thông tin nơi mua nó
Đâu là sự đảm bảo rằng tôi sẽ nhận lại được các tập tin của mình?
Việc chúng tôi có thể giải mã các tệp ngẫu nhiên của bạn là một sự đảm bảo. Thật vô nghĩa khi chúng tôi lừa dối bạn.
Tôi sẽ nhận được mã khóa và chương trình giải mã nhanh như thế nào sau khi thanh toán?
Theo quy định, trong 15 phút
Chương trình giải mã hoạt động như thế nào?
Nó đơn giản. Bạn cần chạy phần mềm của chúng tôi. Chương trình sẽ tự động giải mã tất cả các tệp được mã hóa trên ổ cứng của bạn.'