MIRROR-Ransomware

Von Mezo in Ransomware

Übersetzen Sie in:

Nach einer gründlichen Analyse potenzieller Malware-Bedrohungen haben Forscher MIRROR schlüssig als Ransomware-Variante identifiziert. Das Hauptziel der MIRROR-Bedrohung besteht darin, auf kompromittierten Geräten vorhandene Dateien zu verschlüsseln. Darüber hinaus führt es eine Dateiumbenennung durch und stellt zwei Lösegeldforderungen aus – eine in Form eines Popup-Fensters und die andere als Textdatei mit dem Namen „info-MIRROR.txt“.

Die MIRROR-Ransomware verwendet eine bestimmte Namenskonvention für verschlüsselte Dateien und hängt die ID des Opfers, die E-Mail-Adresse „tpyrcedrorrim@tuta.io“ und die Erweiterung „.Mr“ an. Beispielsweise wird „1.pdf“ in „1.pdf.id-9ECFA74E.[tpyrcedrorrim@tuta.io].Mr“ umgewandelt und „2.png“ wird zu „2.png.id-9ECFA74E.[tpyrcedrorrim@ tuta.io].Mr,' und so weiter. Diese besondere Bedrohung wurde als Variante innerhalb der Dharma-Ransomware- Familie kategorisiert.

Inhaltsverzeichnis

Die MIRROR-Ransomware geht über die Dateiverschlüsselung hinaus

Zusätzlich zur Verschlüsselung von Dateien setzt MIRROR strategische Maßnahmen ein, um die Sicherheit des Zielsystems weiter zu gefährden. Eine dieser Taktiken besteht darin, die Firewall zu deaktivieren und dadurch die Anfälligkeit des Systems für die von der Ransomware inszenierten bösartigen Aktivitäten zu erhöhen. Darüber hinaus ergreift MIRROR bewusst Maßnahmen, um die Schattenkopien des Volumes zu löschen, wodurch potenzielle Wiederherstellungspunkte effektiv beseitigt und Wiederherstellungsbemühungen behindert werden.

MIRROR nutzt Schwachstellen in RDP-Diensten (Remote Desktop Protocol) als primären Infektionsvektor aus. Dabei werden in der Regel schwache Kontoanmeldeinformationen durch Methoden wie Brute-Force- und Wörterbuchangriffe ausgenutzt. Durch den Einsatz dieser Techniken verschafft sich die Ransomware unbefugten Zugriff auf Systeme, insbesondere auf solche mit unzureichend verwalteter Kontosicherheit.

Darüber hinaus verfügt MIRROR über die Fähigkeit, Standortdaten zu extrahieren und so den geografischen Kontext der infizierten Systeme zu erkennen. Insbesondere verfügt es über die Möglichkeit, vorgegebene Standorte von seinem Datenextraktionsumfang auszuschließen. Darüber hinaus verfügt MIRROR über Persistenzmechanismen, die sicherstellen, dass es über einen längeren Zeitraum im kompromittierten System Fuß fassen kann.

Opfer der MIRROR-Ransomware werden gegen Geld erpresst

Der Lösegeldschein der MIRROR-Ransomware dient als Mitteilung der Angreifer an das Opfer und besagt ausdrücklich, dass alle Dateien des Opfers verschlüsselt wurden. Es beschreibt einen möglichen Weg zur Dateiwiederherstellung, indem es das Opfer anweist, Kontakt über eine bestimmte E-Mail-Adresse (tpyrcedrorrim@tuta.io) aufzunehmen und eine eindeutige Kennung anzugeben.

Als alternatives Kommunikationsmittel liefert die Notiz auch eine weitere E-Mail-Adresse (mirrorrorrim@cock.li). Insbesondere rät die Mitteilung nachdrücklich von der Nutzung von Vermittlern für die Kommunikation ab und verweist auf potenzielle Risiken wie überhöhte Gebühren, ungerechtfertigte Abbuchungen und die Ablehnung von Transaktionen. Die Angreifer behaupten, sie seien in der Lage, verschlüsselte Datenwiederherstellungsdienste bereitzustellen, und bieten Garantien an, einschließlich einer Wiederherstellungsdemonstration mit bis zu drei Dateien, um ihre Kompetenz zu untermauern.

Darüber hinaus enthält der Lösegeldschein eine Warnung an das Opfer, in der ausdrücklich davon abgeraten wird, verschlüsselte Dateien umzubenennen. Es warnt außerdem davor, eine Entschlüsselung mithilfe von Software Dritter zu versuchen, und betont die möglichen Folgen eines dauerhaften Datenverlusts oder der Anfälligkeit für Betrug. Die Absicht besteht darin, dem Opfer die sicherste Vorgehensweise zu zeigen, um die Chancen auf eine erfolgreiche Dateiwiederherstellung zu maximieren und gleichzeitig potenzielle Risiken zu minimieren.

Ergreifen Sie Maßnahmen, um Ihre Geräte vor Ransomware-Infektionen zu schützen

Ransomware stellt eine erhebliche Bedrohung für die Sicherheit digitaler Geräte dar. Die möglichen Folgen reichen von Datenverlust bis hin zu finanzieller Erpressung. Die Umsetzung proaktiver Maßnahmen ist von entscheidender Bedeutung, um Geräte gegen solche Infektionen zu wappnen. Hier sind fünf effektive Schritte, die Benutzer unternehmen können:

Aktualisieren Sie Betriebssysteme und Software regelmäßig : Es ist von entscheidender Bedeutung, Betriebssysteme und Software auf dem neuesten Stand zu halten, da Updates häufig Sicherheitspatches enthalten, die Schwachstellen beheben. Suchen Sie regelmäßig nach Updates und wenden Sie diese an, um das Risiko zu verringern, dass Ransomware bekannte Schwachstellen ausnutzt.
Sicherheitssoftware installieren und warten : Der Einsatz vertrauenswürdiger Sicherheitssoftware bietet eine zusätzliche Verteidigungsebene gegen Ransomware. Stellen Sie sicher, dass das Anti-Malware-Programm regelmäßig aktualisiert wird, und führen Sie geplante Scans durch, um potenzielle Bedrohungen zu erkennen und zu beseitigen, bevor sie Ihr Gerät gefährden können.
Seien Sie vorsichtig bei E-Mail-Anhängen und Links : Ransomware infiltriert Systeme oft über Phishing-E-Mails, die bösartige Anhänge oder Links enthalten. Seien Sie beim Öffnen von E-Mails von unbekannten Absendern sehr vorsichtig, klicken Sie nicht auf verdächtige Links und laden Sie keine Anhänge herunter, es sei denn, deren Legitimität wurde überprüft.
Regelmäßige Datensicherung : Die Erstellung regelmäßiger Sicherungen wichtiger Daten ist eine wichtige vorbeugende Maßnahme. Bei einem Ransomware-Angriff können Benutzer mithilfe aktueller Backups ihre Dateien wiederherstellen, ohne einer Erpressung zum Opfer zu fallen. Speichern Sie Backups auf einem externen Gerät oder einem sicheren Cloud-Dienst.
Implementieren Sie Netzwerksicherheitsmaßnahmen : Durch die Stärkung der Netzwerksicherheit können Ransomware-Angriffe verhindert werden. Nutzen Sie Firewalls und Intrusion Detection/Prevention-Systeme, verwenden Sie eindeutige und sichere Passwörter für alle Geräte und Konten und erwägen Sie die Segmentierung von Netzwerken, um die potenziellen Auswirkungen einer Infektion auf das gesamte System zu begrenzen.

Durch die Umsetzung dieser Maßnahmen können Benutzer die Widerstandsfähigkeit ihrer Geräte gegen Ransomware erheblich verbessern, ihre wertvollen Daten schützen und die Integrität ihrer digitalen Umgebung aufrechterhalten.

Der vollständige Text der wichtigsten Lösegeldforderung, die von der MIRROR-Ransomware hinterlassen wurde, lautet:

'MIRROR
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: tpyrcedrorrim@tuta.io YOUR ID 9ECFA84E
If you have not answered by mail within 12 hours, write to us by another mail:mirrorrorrim@cock.li
We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.
-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.
Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Die von der MIRROR-Ransomware abgelegte Textdatei enthält die folgende Meldung:

„Alle Ihre Daten wurden von uns gesperrt.“

Du möchtest zurückkehren?

Schreiben Sie eine E-Mail an tpyrcedrorrim@tuta.io oder Mirrorrorrim@cock.li.

Enigma Software Group setzt sich im neunten Gerichtsbezirk gegen Malwarebytes durch

Suche

Region ändern

MIRROR-Ransomware

Die MIRROR-Ransomware geht über die Dateiverschlüsselung hinaus

Opfer der MIRROR-Ransomware werden gegen Geld erpresst

Ergreifen Sie Maßnahmen, um Ihre Geräte vor Ransomware-Infektionen zu schützen

Kommentar abgeben

Im Trend

Flameforgesmith.top

MacOS ist infiziert – Betrug mit Benachrichtigung...

SNet-Ransomware

Am häufigsten gesehen

Discord zeigt beim Teilen des Bildschirms schwarzen...

So beheben Sie den Fehler 'Druckertreiber ist nicht...

Was ist Msedge.exe?