MIRROR 勒索軟體
在徹底分析潛在的惡意軟體威脅後,研究人員最終確定 MIRROR 是勒索軟體變種。 MIRROR 威脅的主要目標是加密受感染裝置上存在的檔案。此外,它還會進行文件重命名並發出兩份勒索信——一份以彈出視窗的形式,另一份以名為「info-MIRROR.txt」的文字檔案形式。
MIRROR 勒索軟體對其加密的檔案採用特定的命名約定,附加受害者的 ID、「tpyrcedrorrim@tuta.io」電子郵件地址和「.Mr」副檔名。例如,它將“1.pdf”轉換為“1.pdf.id-9ECFA74E.[tpyrcedrorrim@tuta.io].Mr”,“2.png”轉換為“2.png.id-9ECFA74E.[tpyrcedrorrim@ ” tuta.io].先生,”等等。這種特殊的威脅已被歸類為Dharma 勒索軟體家族的變種。
目錄
MIRROR 勒索軟體不僅僅是檔案加密
除了加密檔案之外,MIRROR 還採取策略措施來進一步損害目標系統的安全性。其中一種策略是停用防火牆,從而增加系統對勒索軟體精心策劃的惡意活動的脆弱性。此外,MIRROR 會採取故意操作來擦除磁碟區副本,從而有效地消除潛在的還原點並阻礙復原工作。
MIRROR 利用遠端桌面協定 (RDP) 服務中的漏洞作為主要感染媒介。這通常涉及透過暴力破解和字典攻擊等方法來利用弱帳戶憑證。透過利用這些技術,勒索軟體可以獲得對系統的未經授權的訪問,特別是那些帳戶安全管理不善的系統。
此外,MIRROR 還具有提取位置資料的能力,使其能夠識別受感染系統的地理環境。值得注意的是,它具有從其資料提取範圍中排除預定位置的能力。此外,MIRROR 還採用了持久性機制,確保它能夠在受感染的系統中長期保持立足點。
MIRROR 勒索軟體的受害者被勒索金錢
MIRROR 勒索軟體的勒索字條是攻擊者與受害者之間的通信,明確指出受害者的所有文件都已經過加密。它概述了文件恢復的潛在途徑,指示受害者透過指定的電子郵件地址 (tpyrcedrorrim@tuta.io) 發起聯繫並提供唯一的識別碼。
作為替代的溝通方式,該註釋還提供了另一個電子郵件地址 (mirrorrorrim@cock.li)。值得注意的是,該說明強烈反對使用中介機構進行溝通,並指出存在過度收費、不合理借記和交易拒絕等潛在風險。攻擊者聲稱他們有能力提供加密資料恢復服務並提供保證,包括涉及最多三個文件的恢復演示以證明他們的熟練程度。
此外,勒索信也向受害者發出警告,明確建議不要重新命名加密檔案。它還警告不要嘗試透過第三方軟體解密,強調永久性資料遺失或容易受騙的潛在後果。目的是指導受害者採取最安全的行動方案,以最大限度地提高成功恢復文件的機會,同時最大限度地降低潛在風險。
採取措施增強您的裝置免受勒索軟體感染的能力
勒索軟體對數位裝置的安全構成重大威脅,其潛在後果包括資料遺失和經濟勒索等。實施主動措施對於強化設備抵禦此類感染至關重要。使用者可以採取以下五個有效步驟:
- 定期更新作業系統和軟體:保持作業系統和軟體最新至關重要,因為更新通常包括解決漏洞的安全性修補程式。定期檢查並套用更新,以降低勒索軟體利用已知漏洞的風險。
- 安裝和維護安全軟體:使用值得信賴的安全軟體可以為勒索軟體提供額外的防禦層。確保定期更新反惡意軟體程式並進行排程掃描,以在潛在威脅危害您的裝置之前偵測並消除它們。
- 謹慎對待電子郵件附件和連結:勒索軟體通常透過包含惡意附件或連結的網路釣魚電子郵件滲透系統。打開來自未知寄件者的電子郵件時要格外小心,盡量不要點擊可疑鏈接,並且不要下載附件,除非其合法性得到驗證。
- 定期備份資料:定期備份重要資料是一項重要的預防措施。在勒索軟體攻擊中,最近的備份允許用戶恢復其檔案而不會遭受勒索。將備份儲存在外部裝置或安全的雲端服務上。
- 實施網路安全措施:加強網路安全可以阻止勒索軟體攻擊。利用防火牆和入侵偵測/防禦系統,為所有設備和帳戶使用唯一且強的密碼,並考慮分段網路以限制感染對整個系統的潛在影響。
透過採取這些措施,使用者可以顯著增強其設備抵禦勒索軟體的能力,保護其寶貴數據並維護數位環境的完整性。
MIRROR 勒索軟體留下的主要勒索字條全文如下:
'MIRROR
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: tpyrcedrorrim@tuta.io YOUR ID 9ECFA84E
If you have not answered by mail within 12 hours, write to us by another mail:mirrorrorrim@cock.li
We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.
-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.
Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
MIRROR 勒索軟體釋放的文字檔案包含以下訊息:
'你的所有數據都已被我們鎖定
你想回來嗎?
寫電子郵件 tpyrcedrorrim@tuta.io 或mirrorrorrim@cock.li'
