Imitar ransomware
Cuadro de Mando de Amenazas
Cuadro de mando de amenazas EnigmaSoft
EnigmaSoft Threat Scorecards son informes de evaluación de diferentes amenazas de malware que nuestro equipo de investigación ha recopilado y analizado. Los cuadros de mando de amenazas de EnigmaSoft evalúan y clasifican las amenazas utilizando varias métricas que incluyen factores de riesgo reales y potenciales, tendencias, frecuencia, prevalencia y persistencia. Los cuadros de mando de amenazas de EnigmaSoft se actualizan regularmente en función de nuestros datos y métricas de investigación y son útiles para una amplia gama de usuarios de computadoras, desde usuarios finales que buscan soluciones para eliminar malware de sus sistemas hasta expertos en seguridad que analizan amenazas.
EnigmaSoft Threat Scorecards muestra una variedad de información útil, que incluye:
Clasificación: la clasificación de una amenaza en particular en la base de datos de amenazas de EnigmaSoft.
Nivel de severidad: El nivel de severidad determinado de un objeto, representado numéricamente, basado en nuestro proceso de modelado de riesgo e investigación, como se explica en nuestros Criterios de evaluación de amenazas .
Computadoras infectadas: la cantidad de casos confirmados y sospechosos de una amenaza particular detectada en computadoras infectadas según lo informado por SpyHunter.
Consulte también Criterios de evaluación de amenazas .
| Nivel de amenaza: | 100 % (Elevado) |
| Computadoras infectadas: | 2 |
| Visto por primera vez: | February 8, 2023 |
| Ultima vez visto: | March 1, 2023 |
| SO(s) afectados: | Windows |
Los investigadores de seguridad cibernética han publicado detalles sobre una variedad de ransomware previamente desconocida que aprovecha las API de Everything, un motor de búsqueda de nombres de archivos de Windows desarrollado por Voidtools. Este ransomware, rastreado como Mimic, se detectó por primera vez en junio de 2022 y parece estar dirigido a usuarios de habla rusa e inglesa.
El Mimic Ransomware está equipado con múltiples capacidades, como eliminar las instantáneas de volumen, finalizar múltiples aplicaciones y servicios, y abusar de las funciones de Everything32.dll para consultar los archivos de destino para el cifrado. Se cree que la amenaza se desarrolló, al menos parcialmente, a partir del generador Conti Ransomware que se filtró en marzo de 2022. La información sobre la amenaza se publicó en un informe publicado por expertos en seguridad informática.
Tabla de contenido
Cadena de infección de Mimic Ransomware
La amenaza Mimic se implementa en los dispositivos violados como un archivo ejecutable que, a su vez, elimina varios archivos binarios, incluido un archivo protegido por contraseña disfrazado de Everything64.dll. Este archivo contiene la carga útil del ransomware. También incluye herramientas para deshabilitar Windows Defender y archivos binarios sdel legítimos.
Cuando se ejecuta Mimic Ransomware, colocará sus componentes en la carpeta %Temp%/7zipSfx y extraerá el archivo Everything64.dll protegido por contraseña en el mismo directorio usando 7za.exe con el comando: %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. Además, colocará un archivo de clave de sesión llamado session.tmp en el mismo directorio, que se utilizará para continuar con el cifrado en caso de interrupción en el proceso.
Luego, Mimic Ransomware copiará todos los archivos caídos a '%LocalAppData%{Random GUID}\' antes de renombrarse a sí mismo como 'bestplacetolive.exe' y eliminar los archivos originales de %Temp%.
Las capacidades amenazantes de Mimic Ransomware
El Mimic Ransomware emplea varios subprocesos y la función CreateThread para cifrar archivos rápidamente, lo que dificulta el análisis de los investigadores de seguridad. Tiene una amplia gama de capacidades, como recopilar información del sistema, crear persistencia a través de la tecla EJECUTAR, omitir el Control de cuentas de usuario (UAC), deshabilitar Windows Defender y la telemetría, activar medidas contra el apagado, finalizar procesos y servicios, interferir con la recuperación del sistema y más.
Para lograr sus objetivos de cifrado, Mimic Ransomware abusa de Everything32.dll, un motor de búsqueda legítimo de nombres de archivos de Windows, para consultar ciertas extensiones de archivos y nombres de archivos para recuperar sus rutas, ya sea para el cifrado o para excluirlos del proceso de cifrado. Después de cifrar los archivos de destino, la amenaza agrega la extensión '.QUIETPLACE' a sus nombres. La amenaza muestra varios mensajes que exigen rescate: uno durante el proceso de inicio, otro como un archivo de texto llamado 'Decrypt_me.txt' y otro que se muestra en una ventana emergente en la pantalla del dispositivo.
El texto completo de las demandas de Mimic Ransomware que se encuentran en la ventana emergente y el archivo de texto es:
'Todos sus archivos han sido encriptados con Nuestro virus.
Su identificación única:Puede comprar el descifrado completo de sus archivos
Pero antes de pagar, puede asegurarse de que realmente podamos descifrar cualquiera de sus archivos.
La clave de encriptación y la identificación son únicas para su computadora, por lo que tiene la garantía de poder devolver sus archivos.Para hacer esto:
1) Envíe su identificación única y un máximo de 3 archivos para el descifrado de prueba
NUESTROS CONTACTOS
1.1) mensajero TOX (rápido y anónimo)
hxxps://tox.chat/download.html
Instalar qtox
presiona regístrate
crea tu propio nombre
Pulse más
Pon ahí mi ID de toxicología
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
Y agrégame/escribir mensaje
1.2) Mensajero ICQ
Chat en vivo de ICQ que funciona 24/7 - @mcdonaldsdebtzhlob
Instale el software ICQ en su PC aquí hxxps://icq.com/windows/ o en su teléfono inteligente busque "ICQ" en Appstore/Google market
Escríbenos a nuestro ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3)Skype
DESCRIPTACIÓN DE MCDONALDSDEBTZHLOB
4) Correo (escriba solo en situaciones críticas porque es posible que su correo electrónico no se entregue o se convierta en spam) mcdonaldsdebtzhlob@onionmail.orgEn la línea de asunto, escriba su ID de descifrado: -
Después del descifrado, le enviaremos los archivos descifrados y una billetera bitcoin única para el pago.
Después del pago del rescate por Bitcoin, le enviaremos un programa de descifrado e instrucciones. Si podemos descifrar sus archivos, no tenemos ninguna razón para engañarlo después del pago.PREGUNTAS MÁS FRECUENTES:
¿Puedo obtener un descuento?
No. El monto del rescate se calcula en función de la cantidad de archivos de Office encriptados y no se brindan descuentos. Todos estos mensajes se ignorarán automáticamente. Si realmente solo desea algunos de los archivos, comprímalos y cárguelos en algún lugar. Los decodificaremos por el precio de 1 archivo = 1$.
¿Qué es Bitcoin?
leer bitcoin.org
¿Dónde comprar bitcoins?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (forma más rápida)
comprar.coingate.com
hxxps://bitcoin.org/es/comprar
hxxps://buy.moonpay.io
binance.com
o use google.com para encontrar información donde comprarlo
¿Dónde está la garantía de que recibiré mis archivos de vuelta?
El hecho mismo de que podamos descifrar sus archivos aleatorios es una garantía. No tiene sentido que te engañemos.
¿Qué tan rápido recibiré la clave y el programa de descifrado después del pago?
Por regla general, durante 15 min.
¿Cómo funciona el programa de descifrado?
Es sencillo. Necesita ejecutar nuestro software. El programa descifrará automáticamente todos los archivos cifrados en su HDD.'
Detalles del Sistema de Archivos
| # | Nombre | MD5 |
Detecciones
Detecciones: la cantidad de casos confirmados y sospechosos de una amenaza particular detectada en computadoras infectadas según lo informado por SpyHunter.
|
|---|---|---|---|
| 1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |
