模仿勒索软件
威胁评分卡
EnigmaSoft 威胁记分卡
EnigmaSoft 威胁记分卡是针对不同恶意软件威胁的评估报告,由我们的研究团队收集和分析。 EnigmaSoft 威胁记分卡使用多个指标对威胁进行评估和排名,包括现实世界和潜在风险因素、趋势、频率、普遍性和持续性。 EnigmaSoft 威胁记分卡会根据我们的研究数据和指标定期更新,对广泛的计算机用户有用,从寻求解决方案以从系统中删除恶意软件的最终用户到分析威胁的安全专家。
EnigmaSoft 威胁记分卡显示各种有用的信息,包括:
排名: EnigmaSoft 威胁数据库中特定威胁的排名。
严重性级别:根据我们的风险建模过程和研究,确定的对象的严重性级别,以数字形式表示,如我们的威胁评估标准中所述。
受感染计算机: SpyHunter 报告的在受感染计算机上检测到的特定威胁的确认和疑似案例数量。
另请参阅威胁评估标准。
| 威胁级别: | 100 % (高的) |
| 受感染的计算机: | 2 |
| 初见: | February 8, 2023 |
| 最后一次露面: | March 1, 2023 |
| 受影响的操作系统: | Windows |
网络安全研究人员发布了有关以前未知的勒索软件变种的详细信息,该变种利用了 Voidtools 开发的 Windows 文件名搜索引擎 Everything 的 API。这种被追踪为 Mimic 的勒索软件于 2022 年 6 月首次在野外被发现,似乎同时针对俄语和英语用户。
Mimic Ransomware 具有多种功能,例如删除卷影副本、终止多个应用程序和服务以及滥用 Everything32.dll 函数查询目标文件进行加密。据信,该威胁至少部分是由 2022 年 3 月泄露的Conti Ransomware构建器开发的。信息安全专家发布的一份报告中发布了有关该威胁的信息。
目录
模仿勒索软件的感染链
Mimic 威胁以可执行文件的形式部署在被破坏的设备上,该文件反过来会投放多个二进制文件,包括伪装成 Everything64.dll 的受密码保护的存档文件。此存档包含勒索软件负载。它还包括用于禁用 Windows Defender 和合法 sdel 二进制文件的工具。
执行 Mimic Ransomware 时,它会将其组件放入 %Temp%/7zipSfx 文件夹,并使用 7za.exe 将受密码保护的 Everything64.dll 提取到同一目录,命令为:%Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll。此外,它会将一个名为 session.tmp 的会话密钥文件放到同一目录中,该文件将用于在进程中断时继续加密。
之后,Mimic 勒索软件会将所有丢失的文件复制到“%LocalAppData%{Random GUID}\”,然后将自身重命名为“bestplacetolive.exe”并从 %Temp% 中删除原始文件。
Mimic 勒索软件的威胁能力
Mimic Ransomware利用多线程和CreateThread函数快速加密文件,让安全研究人员难以分析。它具有广泛的功能,例如收集系统信息、通过 RUN 键创建持久性、绕过用户帐户控制 (UAC)、禁用 Windows Defender 和遥测、激活反关机措施、终止进程和服务、干扰系统恢复等等。
为实现其加密目标,Mimic Ransomware 滥用 Everything32.dll(一种合法的 Windows 文件名搜索引擎)来查询某些文件扩展名和文件名以检索其路径,以进行加密或将其排除在加密过程之外。加密目标文件后,威胁会将“.QUIETPLACE”扩展名附加到它们的名称中。该威胁会显示多条索要赎金的消息——一条是在启动过程中,一条是名为“Decrypt_me.txt”的文本文件,另一条显示在设备屏幕上的弹出窗口中。
在弹出窗口和文本文件中找到的 Mimic Ransomware 要求的全文是:
'您的所有文件都已用我们的病毒加密。
您的唯一 ID:您可以购买文件的完全解密
但在您付款之前,您可以确保我们能够真正解密您的任何文件。
加密密钥和 ID 对您的计算机而言是唯一的,因此可以保证您能够归还文件。去做这个:
1) 发送您的唯一 ID - 以及最多 3 个文件用于测试解密
我们的联系人
1.1)TOX 信使(快速且匿名)
hxxps://tox.chat/download.html
安装qtox
按唱起来
创建自己的名字
按加号
把我的 tox ID 放在那里
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
并加我/写消息
1.2)ICQ即时通
24/7 全天候工作的 ICQ 实时聊天 - @mcdonaldsdebtzhlob
在您的 PC 上安装 ICQ 软件 hxxps://icq.com/windows/ 或在您的智能手机上在 Appstore / Google 市场中搜索“ICQ”
写信给我们的 ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) 网络电话
麦当劳DEBTZHLOB解密
4) 邮件(只在紧急情况下写,因为您的电子邮件可能无法送达或进入垃圾邮件)mcdonaldsdebtzhlob@onionmail.org在主题行中请写下您的解密 ID:-
解密后,我们会将解密后的文件和一个独一无二的比特币钱包发送给您,用于支付。
在支付比特币赎金后,我们将向您发送解密程序和说明。如果我们可以解密您的文件,我们就没有理由在付款后欺骗您。常问问题:
我能得到折扣吗?
不会。赎金金额是根据加密办公文件的数量计算的,不提供折扣。所有此类消息将被自动忽略。如果您真的只想要一些文件,请将它们压缩并上传到某个地方。我们将以 1 个文件 = 1 美元的价格解码它们。
什么是比特币?
阅读 bitcoin.org
在哪里购买比特币?
hxxps://www.alfa.cash/buy-crypto-with-credit-card(最快的方式)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
币安网
或使用 google.com 查找购买信息
我将收到我的文件的保证在哪里?
我们可以解密您的随机文件这一事实就是一种保证。我们欺骗你是没有意义的。
付款后多久能收到密钥和解密程序?
通常,在 15 分钟内
解密程序如何工作?
这很简单。您需要运行我们的软件。该程序将自动解密您硬盘上的所有加密文件。
文件系统详情
| # | 文件名 | MD5 |
检测
检测数: SpyHunter 报告的在受感染计算机上检测到的特定威胁的确认和疑似案例数量。
|
|---|---|---|---|
| 1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |
