MIRROR 勒索软件
在彻底分析潜在的恶意软件威胁后,研究人员最终确定 MIRROR 是勒索软件变种。 MIRROR 威胁的主要目标是加密受感染设备上存在的文件。此外,它还会进行文件重命名并发出两份勒索信——一份以弹出窗口的形式,另一份以名为“info-MIRROR.txt”的文本文件形式。
MIRROR 勒索软件对其加密的文件采用特定的命名约定,附加受害者的 ID、“tpyrcedrorrim@tuta.io”电子邮件地址和“.Mr”扩展名。例如,它将“1.pdf”转换为“1.pdf.id-9ECFA74E.[tpyrcedrorrim@tuta.io].Mr”,“2.png”转换为“2.png.id-9ECFA74E.[tpyrcedrorrim@” tuta.io].先生,”等等。这种特殊的威胁已被归类为Dharma 勒索软件家族的变种。
目录
MIRROR 勒索软件不仅仅是文件加密
除了加密文件之外,MIRROR 还采用战略措施来进一步损害目标系统的安全性。其中一种策略是禁用防火墙,从而增加系统对勒索软件精心策划的恶意活动的脆弱性。此外,MIRROR 会采取故意操作来擦除卷影卷副本,从而有效地消除潜在的还原点并阻碍恢复工作。
MIRROR 利用远程桌面协议 (RDP) 服务中的漏洞作为主要感染媒介。这通常涉及通过暴力破解和字典攻击等方法来利用弱帐户凭据。通过利用这些技术,勒索软件可以获得对系统的未经授权的访问,特别是那些帐户安全管理不善的系统。
此外,MIRROR 还具有提取位置数据的能力,使其能够识别受感染系统的地理环境。值得注意的是,它具有从其数据提取范围中排除预定位置的能力。此外,MIRROR 还采用了持久性机制,确保它能够在受感染的系统中长期立足。
MIRROR 勒索软件的受害者被勒索金钱
MIRROR 勒索软件的勒索字条是攻击者与受害者之间的通信,明确指出受害者的所有文件都已经过加密。它概述了文件恢复的潜在途径,指示受害者通过指定的电子邮件地址 (tpyrcedrorrim@tuta.io) 发起联系并提供唯一的标识符。
作为替代的沟通方式,该注释还提供了另一个电子邮件地址 (mirrorrorrim@cock.li)。值得注意的是,该说明强烈反对使用中介机构进行沟通,并指出存在过度收费、不合理借记和交易拒绝等潜在风险。攻击者声称他们有能力提供加密数据恢复服务并提供保证,包括涉及最多三个文件的恢复演示以证明他们的熟练程度。
此外,勒索信还向受害者发出警告,明确建议不要重命名加密文件。它还警告不要尝试通过第三方软件解密,强调永久性数据丢失或容易受骗的潜在后果。目的是指导受害者采取最安全的行动方案,以最大限度地提高成功恢复文件的机会,同时最大限度地降低潜在风险。
采取措施增强您的设备免受勒索软件感染的能力
勒索软件对数字设备的安全构成重大威胁,其潜在后果包括数据丢失和经济勒索等。实施主动措施对于强化设备抵御此类感染至关重要。用户可以采取以下五个有效步骤:
- 定期更新操作系统和软件:保持操作系统和软件最新至关重要,因为更新通常包括解决漏洞的安全补丁。定期检查并应用更新,以降低勒索软件利用已知漏洞的风险。
- 安装和维护安全软件:使用值得信赖的安全软件可以为勒索软件提供额外的防御层。确保定期更新反恶意软件程序并进行计划扫描,以在潜在威胁危害您的设备之前检测并消除它们。
- 谨慎对待电子邮件附件和链接:勒索软件通常通过包含恶意附件或链接的网络钓鱼电子邮件渗透系统。打开来自未知发件人的电子邮件时要格外小心,尽量不要点击可疑链接,并且不要下载附件,除非其合法性得到验证。
- 定期备份数据:定期备份重要数据是一项重要的预防措施。在勒索软件攻击中,最近的备份允许用户恢复其文件而不会遭受勒索。将备份存储在外部设备或安全的云服务上。
- 实施网络安全措施:加强网络安全可以阻止勒索软件攻击。利用防火墙和入侵检测/防御系统,为所有设备和帐户使用唯一且强的密码,并考虑分段网络以限制感染对整个系统的潜在影响。
通过采取这些措施,用户可以显着增强其设备抵御勒索软件的能力,保护其宝贵数据并维护数字环境的完整性。
MIRROR 勒索软件留下的主要勒索字条全文如下:
'MIRROR
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: tpyrcedrorrim@tuta.io YOUR ID 9ECFA84E
If you have not answered by mail within 12 hours, write to us by another mail:mirrorrorrim@cock.li
We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.
-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.
Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
MIRROR 勒索软件释放的文本文件包含以下消息:
'你的所有数据都已被我们锁定
你想回来吗?
写电子邮件 tpyrcedrorrim@tuta.io 或mirrorrorrim@cock.li'
