模仿勒索軟件
威脅評分卡
EnigmaSoft 威胁记分卡
EnigmaSoft 威脅記分卡是我們的研究團隊收集和分析的不同惡意軟件威脅的評估報告。 EnigmaSoft 威脅記分卡使用多種指標對威脅進行評估和排名,包括現實世界和潛在的風險因素、趨勢、頻率、普遍性和持續性。 EnigmaSoft 威脅記分卡根據我們的研究數據和指標定期更新,對范圍廣泛的計算機用戶非常有用,從尋求解決方案以從其係統中刪除惡意軟件的最終用戶到分析威脅的安全專家。
EnigmaSoft 威脅記分卡顯示各種有用的信息,包括:
排名:特定威脅在 EnigmaSoft 的威脅數據庫中的排名。
嚴重級別:根據我們的風險建模過程和研究確定的對象嚴重級別,以數字表示,如我們的威脅評估標準中所述。
受感染的計算機:根據 SpyHunter 的報告,在受感染的計算機上檢測到的特定威脅的已確認和疑似案例的數量。
另請參閱威脅評估標準。
| 威胁级别: | 100 % (高的) |
| 受感染的计算机: | 2 |
| 初见: | February 8, 2023 |
| 最后一次露面: | March 1, 2023 |
| 受影响的操作系统: | Windows |
網絡安全研究人員發布了有關以前未知的勒索軟件變種的詳細信息,該變種利用了 Voidtools 開發的 Windows 文件名搜索引擎 Everything 的 API。這種被追踪為 Mimic 的勒索軟件於 2022 年 6 月首次在野外被發現,似乎同時針對俄語和英語用戶。
Mimic Ransomware 具有多種功能,例如刪除卷影副本、終止多個應用程序和服務以及濫用 Everything32.dll 函數查詢目標文件進行加密。據信,該威脅至少部分是由 2022 年 3 月洩露的Conti Ransomware構建器開發的。信息安全專家發布的一份報告中發布了有關該威脅的信息。
目錄
模仿勒索軟件的感染鏈
Mimic 威脅以可執行文件的形式部署在被破壞的設備上,該文件反過來會投放多個二進製文件,包括偽裝成 Everything64.dll 的受密碼保護的存檔文件。此存檔包含勒索軟件負載。它還包括用於禁用 Windows Defender 和合法 sdel 二進製文件的工具。
執行 Mimic Ransomware 時,它會將其組件放入 %Temp%/7zipSfx 文件夾,並使用 7za.exe 將受密碼保護的 Everything64.dll 提取到同一目錄,命令為:%Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll。此外,它會將一個名為 session.tmp 的會話密鑰文件放到同一目錄中,該文件將用於在進程中斷時繼續加密。
之後,Mimic 勒索軟件會將所有丟失的文件複製到“%LocalAppData%{Random GUID}\”,然後將自身重命名為“bestplacetolive.exe”並從 %Temp% 中刪除原始文件。
Mimic 勒索軟件的威脅能力
Mimic Ransomware利用多線程和CreateThread函數快速加密文件,讓安全研究人員難以分析。它具有廣泛的功能,例如收集系統信息、通過 RUN 鍵創建持久性、繞過用戶帳戶控制 (UAC)、禁用 Windows Defender 和遙測、激活反關機措施、終止進程和服務、干擾系統恢復等等。
為實現其加密目標,Mimic Ransomware 濫用 Everything32.dll(一種合法的 Windows 文件名搜索引擎)來查詢某些文件擴展名和文件名以檢索其路徑,以進行加密或將其排除在加密過程之外。加密目標文件後,威脅會將“.QUIETPLACE”擴展名附加到它們的名稱中。該威脅會顯示多條索要贖金的消息——一條是在啟動過程中,一條是名為“Decrypt_me.txt”的文本文件,另一條顯示在設備屏幕上的彈出窗口中。
在彈出窗口和文本文件中找到的 Mimic Ransomware 要求的全文是:
'您的所有文件都已用我們的病毒加密。
您的唯一 ID:您可以購買文件的完全解密
但在您付款之前,您可以確保我們能夠真正解密您的任何文件。
加密密鑰和 ID 對您的計算機而言是唯一的,因此可以保證您能夠歸還文件。去做這個:
1) 發送您的唯一 ID - 以及最多 3 個文件用於測試解密
我們的聯繫人
1.1)TOX 信使(快速且匿名)
hxxps://tox.chat/download.html
安裝qtox
按唱起來
創建自己的名字
按加號
把我的 tox ID 放在那裡
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
並加我/寫消息
1.2)ICQ即時通
24/7 全天候工作的 ICQ 實時聊天 - @mcdonaldsdebtzhlob
在您的 PC 上安裝 ICQ 軟件 hxxps://icq.com/windows/ 或在您的智能手機上在 Appstore / Google 市場中搜索“ICQ”
寫信給我們的 ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) 網絡電話
麥當勞DEBTZHLOB解密
4) 郵件(只在緊急情況下寫,因為您的電子郵件可能無法送達或進入垃圾郵件)mcdonaldsdebtzhlob@onionmail.org在主題行中請寫下您的解密 ID:-
解密後,我們會將解密後的文件和一個獨一無二的比特幣錢包發送給您,用於支付。
在支付比特幣贖金後,我們將向您發送解密程序和說明。如果我們可以解密您的文件,我們就沒有理由在付款後欺騙您。常問問題:
我能得到折扣嗎?
不會。贖金金額是根據加密辦公文件的數量計算的,不提供折扣。所有此類消息將被自動忽略。如果您真的只想要一些文件,請將它們壓縮並上傳到某個地方。我們將以 1 個文件 = 1 美元的價格解碼它們。
什麼是比特幣?
閱讀 bitcoin.org
在哪裡購買比特幣?
hxxps://www.alfa.cash/buy-crypto-with-credit-card(最快的方式)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
幣安網
或使用 google.com 查找購買信息
我將收到我的文件的保證在哪裡?
我們可以解密您的隨機文件這一事實就是一種保證。我們欺騙你是沒有意義的。
付款後多久能收到密鑰和解密程序?
通常,在 15 分鐘內
解密程序如何工作?
這很簡單。您需要運行我們的軟件。該程序將自動解密您硬盤上的所有加密文件。
文件系統詳情
| # | 文件名 | MD5 |
偵測
檢測: SpyHunter 報告的在受感染計算機上檢測到的特定威脅的已確認和疑似案例數。
|
|---|---|---|---|
| 1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |
