Imitieren Sie Ransomware
Wertungsliste der Bedrohung
EnigmaSoft Bedrohungs-Scorecard
EnigmaSoft Threat Scorecards sind Bewertungsberichte für verschiedene Malware-Bedrohungen, die von unserem Forschungsteam gesammelt und analysiert wurden. EnigmaSoft Threat Scorecards bewerten und stufen Bedrohungen anhand verschiedener Metriken ein, darunter reale und potenzielle Risikofaktoren, Trends, Häufigkeit, Prävalenz und Persistenz. EnigmaSoft Threat Scorecards werden regelmäßig auf der Grundlage unserer Forschungsdaten und -metriken aktualisiert und sind für eine Vielzahl von Computerbenutzern nützlich, von Endbenutzern, die nach Lösungen suchen, um Malware von ihren Systemen zu entfernen, bis hin zu Sicherheitsexperten, die Bedrohungen analysieren.
EnigmaSoft Threat Scorecards zeigen eine Vielzahl nützlicher Informationen an, darunter:
Ranking: Das Ranking einer bestimmten Bedrohung in der Bedrohungsdatenbank von EnigmaSoft.
Schweregrad: Der ermittelte Schweregrad eines Objekts, numerisch dargestellt, basierend auf unserem Risikomodellierungsprozess und unserer Forschung, wie in unseren Kriterien zur Bedrohungsbewertung erläutert.
Infizierte Computer: Die Anzahl der bestätigten und vermuteten Fälle einer bestimmten Bedrohung, die auf infizierten Computern entdeckt wurden, wie von SpyHunter gemeldet.
Siehe auch Kriterien für die Bedrohungsbewertung .
| Bedrohungsstufe: | 100 % (Hoch) |
| Infizierte Computer: | 2 |
| Zum ersten Mal gesehen: | February 8, 2023 |
| Zuletzt gesehen: | March 1, 2023 |
| Betroffene Betriebssysteme: | Windows |
Cybersicherheitsforscher haben Details über einen bisher unbekannten Ransomware-Stamm veröffentlicht, der sich die APIs von Everything zunutze macht, einer von Voidtools entwickelten Suchmaschine für Windows-Dateinamen. Diese als Mimic verfolgte Ransomware wurde erstmals im Juni 2022 in freier Wildbahn entdeckt und scheint sowohl auf russisch- als auch auf englischsprachige Benutzer abzuzielen.
Die Mimic Ransomware ist mit mehreren Funktionen ausgestattet, wie z. B. dem Löschen der Volumenschattenkopien, dem Beenden mehrerer Anwendungen und Dienste und dem Missbrauch von Everything32.dll-Funktionen, um Zieldateien für die Verschlüsselung abzufragen. Es wird angenommen, dass die Bedrohung zumindest teilweise aus dem Conti Ransomware Builder entwickelt wurde, der bereits im März 2022 durchgesickert ist. Informationen über die Bedrohung wurden in einem von Infosec-Experten veröffentlichten Bericht veröffentlicht.
Inhaltsverzeichnis
Imitieren Sie die Infektionskette von Ransomware
Die Mimic-Bedrohung wird auf den angegriffenen Geräten als ausführbare Datei bereitgestellt, die wiederum mehrere Binärdateien ablegt, darunter ein passwortgeschütztes Archiv, getarnt als Everything64.dll. Dieses Archiv enthält die Ransomware-Payload. Es enthält auch Tools zum Deaktivieren von Windows Defender und legitimen sdel-Binärdateien.
Wenn die Mimic Ransomware ausgeführt wird, legt sie ihre Komponenten im Ordner %Temp%/7zipSfx ab und extrahiert die passwortgeschützte Everything64.dll mithilfe von 7za.exe in dasselbe Verzeichnis mit dem Befehl: %Temp%\7ZipSfx.000\7za .exe“ x -y -p20475326413135730160 Everything64.dll. Außerdem wird eine Sitzungsschlüsseldatei namens session.tmp in demselben Verzeichnis abgelegt, die für die Fortsetzung der Verschlüsselung im Falle einer Unterbrechung des Prozesses verwendet wird.
Anschließend kopiert die Mimic Ransomware alle abgelegten Dateien nach „%LocalAppData%{Random GUID}\“, bevor sie sich in „bestplacetolive.exe“ umbenennt und die Originaldateien aus %Temp% löscht.
Die Bedrohungsfähigkeiten der Mimic Ransomware
Die Mimic Ransomware verwendet mehrere Threads und die CreateThread-Funktion, um Dateien schnell zu verschlüsseln, was die Analyse für Sicherheitsforscher erschwert. Es verfügt über eine breite Palette von Funktionen, z. B. das Sammeln von Systeminformationen, das Erstellen von Persistenz über die RUN-Taste, das Umgehen der Benutzerkontensteuerung (UAC), das Deaktivieren des Windows Defender und der Telemetrie, das Aktivieren von Anti-Shutdown-Maßnahmen, das Beenden von Prozessen und Diensten, das Eingreifen die Systemwiederherstellung und mehr.
Um ihre Verschlüsselungsziele zu erreichen, missbraucht die Mimic Ransomware Everything32.dll – eine legitime Windows-Suchmaschine für Dateinamen – um bestimmte Dateierweiterungen und Dateinamen abzufragen, um ihre Pfade abzurufen, entweder zur Verschlüsselung oder um sie vom Verschlüsselungsprozess auszuschließen. Nach dem Verschlüsseln der Zieldateien hängt die Bedrohung die Erweiterung „.QUIETPLACE“ an deren Namen an. Die Bedrohung zeigt mehrere Lösegeld fordernde Nachrichten an – eine während des Startvorgangs, eine als Textdatei mit dem Namen „Decrypt_me.txt“ und eine weitere, die in einem Popup-Fenster auf dem Bildschirm des Geräts angezeigt wird.
Der vollständige Text der Forderungen von Mimic Ransomware im Popup-Fenster und in der Textdatei lautet:
„Alle Ihre Dateien wurden mit unserem Virus verschlüsselt.
Ihre eindeutige ID:Sie können die vollständige Entschlüsselung Ihrer Dateien kaufen
Aber bevor Sie bezahlen, können Sie sich vergewissern, dass wir wirklich jede Ihrer Dateien entschlüsseln können.
Der Verschlüsselungsschlüssel und die ID sind für Ihren Computer eindeutig, sodass Sie Ihre Dateien garantiert zurückgeben können.Um dies zu tun:
1) Senden Sie Ihre eindeutige ID - und maximal 3 Dateien zur Testentschlüsselung
UNSERE KONTAKTE
1.1)TOX-Messenger (schnell und anonym)
hxxps://tox.chat/download.html
Qtox installieren
Drücken Sie singen
Erstellen Sie Ihren eigenen Namen
Plus drücken
Geben Sie dort meine Tox-ID ein
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
Und mich hinzufügen/Nachricht schreiben
1.2) ICQ-Messenger
ICQ-Live-Chat, der rund um die Uhr funktioniert - @mcdonaldsdebtzhlob
Installieren Sie die ICQ-Software hier auf Ihrem PC hxxps://icq.com/windows/ oder suchen Sie auf Ihrem Smartphone nach „ICQ“ im Appstore / Google Market
Schreiben Sie an unseren ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3)Skype
MCDONALDSDEBTZHLOB-ENTSCHLÜSSELUNG
4) Mail (schreiben Sie nur in kritischen Situationen, da Ihre E-Mail möglicherweise nicht zugestellt wird oder im Spam landet) mcdonaldsdebtzhlob@onionmail.orgIn die Betreffzeile schreiben Sie bitte Ihre Entschlüsselungs-ID: -
Nach der Entschlüsselung senden wir Ihnen die entschlüsselten Dateien und eine einzigartige Bitcoin-Brieftasche zur Zahlung.
Nach der Lösegeldzahlung für Bitcoin senden wir Ihnen ein Entschlüsselungsprogramm und Anweisungen. Wenn wir Ihre Dateien entschlüsseln können, haben wir keinen Grund, Sie nach der Zahlung zu täuschen.FAQ:
Kann ich einen Rabatt bekommen?
Nein. Der Lösegeldbetrag wird basierend auf der Anzahl der verschlüsselten Office-Dateien berechnet und Rabatte werden nicht gewährt. Alle diese Nachrichten werden automatisch ignoriert. Wenn Sie wirklich nur einige der Dateien möchten, zippen Sie sie und laden Sie sie irgendwo hoch. Wir entschlüsseln sie zum Preis von 1 Datei = 1$.
Was ist Bitcoin?
Lesen Sie bitcoin.org
Wo kann man Bitcoins kaufen?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (schnellster Weg)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
oder verwenden Sie google.com, um Informationen zu finden, wo Sie es kaufen können
Wo ist die Garantie, dass ich meine Dateien zurückerhalte?
Die Tatsache, dass wir Ihre zufälligen Dateien entschlüsseln können, ist eine Garantie. Es macht für uns keinen Sinn, Sie zu täuschen.
Wie schnell erhalte ich den Schlüssel und das Entschlüsselungsprogramm nach der Zahlung?
In der Regel während 15 min
Wie funktioniert das Entschlüsselungsprogramm?
Es ist einfach. Sie müssen unsere Software ausführen. Das Programm entschlüsselt automatisch alle verschlüsselten Dateien auf Ihrer Festplatte.'
Deatils zum Dateisystem
| # | Dateiname | MD5 |
Erkennungen
Erkennungen: Die Anzahl der bestätigten und vermuteten Fälle einer bestimmten Bedrohung, die auf infizierten Computern erkannt wurden, wie von SpyHunter gemeldet.
|
|---|---|---|---|
| 1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |
