Mimic Ransomware
Fiche d'évaluation menace
Tableau de bord des menaces EnigmaSoft
EnigmaSoft Threat Scorecards sont des rapports d'évaluation de différentes menaces de logiciels malveillants qui ont été collectés et analysés par notre équipe de recherche. Les tableaux de bord des menaces EnigmaSoft évaluent et classent les menaces à l'aide de plusieurs mesures, notamment les facteurs de risque réels et potentiels, les tendances, la fréquence, la prévalence et la persistance. Les cartes de pointage EnigmaSoft Threat sont mises à jour régulièrement sur la base de nos données et mesures de recherche et sont utiles pour un large éventail d'utilisateurs d'ordinateurs, des utilisateurs finaux à la recherche de solutions pour supprimer les logiciels malveillants de leurs systèmes aux experts en sécurité analysant les menaces.
Les tableaux de bord des menaces d'EnigmaSoft affichent une variété d'informations utiles, notamment :
Classement : le classement d'une menace particulière dans la base de données des menaces d'EnigmaSoft.
Niveau de gravité : le niveau de gravité déterminé d'un objet, représenté numériquement, sur la base de notre processus de modélisation des risques et de nos recherches, comme expliqué dans nos critères d'évaluation des menaces .
Ordinateurs infectés : le nombre de cas confirmés et suspects d'une menace particulière détectée sur des ordinateurs infectés, tel que rapporté par SpyHunter.
Voir aussi Critères d'évaluation des menaces .
| Niveau de menace: | 100 % (Haute) |
| Ordinateurs infectés : | 2 |
| Vu la première fois: | February 8, 2023 |
| Vu pour la dernière fois : | March 1, 2023 |
| Systèmes d'exploitation concernés: | Windows |
Les chercheurs en cybersécurité ont publié des détails sur une souche de ransomware jusque-là inconnue qui tire parti des API de Everything, un moteur de recherche de noms de fichiers Windows développé par Voidtools. Ce rançongiciel, suivi sous le nom de Mimic, a été repéré pour la première fois dans la nature en juin 2022 et semble cibler à la fois les utilisateurs russes et anglophones.
Le Mimic Ransomware est équipé de plusieurs fonctionnalités, telles que la suppression des clichés instantanés de volume, la fermeture de plusieurs applications et services et l'abus des fonctions Everything32.dll pour interroger les fichiers cibles à chiffrer. On pense que la menace a été au moins partiellement développée à partir du constructeur Conti Ransomware qui a été divulgué en mars 2022. Des informations sur la menace ont été publiées dans un rapport publié par des experts de la sécurité informatique.
Table des matières
Chaîne d'infection de Mimic Ransomware
La menace Mimic est déployée sur les appareils piratés sous la forme d'un fichier exécutable qui, à son tour, supprime plusieurs fichiers binaires, y compris une archive protégée par mot de passe déguisée en Everything64.dll. Cette archive contient la charge utile du ransomware. Il comprend également des outils pour désactiver Windows Defender et les binaires sdel légitimes.
Lorsque Mimic Ransomware est exécuté, il dépose ses composants dans le dossier %Temp%/7zipSfx et extrait le fichier Everything64.dll protégé par mot de passe dans le même répertoire à l'aide de 7za.exe avec la commande : %Temp%\7ZipSfx.000\7za .exe" x -y -p20475326413135730160 Everything64.dll. De plus, il déposera un fichier de clé de session appelé session.tmp dans le même répertoire, qui sera utilisé pour poursuivre le chiffrement en cas d'interruption du processus.
Ensuite, le Mimic Ransomware copiera tous les fichiers déposés dans '%LocalAppData%{Random GUID}\' avant de se renommer en 'bestplacetolive.exe' et de supprimer les fichiers originaux de %Temp%.
Les capacités menaçantes du rançongiciel Mimic
Le Mimic Ransomware utilise plusieurs threads et la fonction CreateThread pour chiffrer rapidement les fichiers, ce qui rend l'analyse difficile pour les chercheurs en sécurité. Il dispose d'un large éventail de fonctionnalités, telles que la collecte d'informations système, la création d'une persistance via la touche RUN, le contournement du contrôle de compte d'utilisateur (UAC), la désactivation de Windows Defender et de la télémétrie, l'activation de mesures anti-arrêt, l'arrêt de processus et de services, l'interférence avec la récupération du système et plus encore.
Pour atteindre ses objectifs de chiffrement, le Mimic Ransomware abuse de Everything32.dll - un moteur de recherche de noms de fichiers Windows légitime - pour interroger certaines extensions de fichiers et noms de fichiers afin de récupérer leurs chemins, soit pour le chiffrement, soit pour les exclure du processus de chiffrement. Après avoir chiffré les fichiers cibles, la menace ajoute l'extension '.QUIETPLACE' à leurs noms. La menace affiche plusieurs messages demandant une rançon - un pendant le processus de démarrage, un sous forme de fichier texte nommé "Decrypt_me.txt" et un autre qui s'affiche dans une fenêtre contextuelle sur l'écran de l'appareil.
Le texte intégral des demandes de Mimic Ransomware trouvé dans la fenêtre contextuelle et le fichier texte est :
'Tous vos fichiers ont été cryptés avec Notre virus.
Votre identifiant unique :Vous pouvez acheter le décryptage complet de vos fichiers
Mais avant de payer, vous pouvez vous assurer que nous pouvons vraiment décrypter n'importe lequel de vos fichiers.
La clé de cryptage et l'identifiant sont propres à votre ordinateur, vous avez donc la garantie de pouvoir restituer vos fichiers.Pour faire ça:
1) Envoyez votre identifiant unique - et 3 fichiers maximum pour le décryptage de test
NOS CONTACTS
1.1) Messager TOX (rapide et anonyme)
hxxps://tox.chat/download.html
Installer qtox
appuyez sur chanter
créez votre propre nom
Appuyez sur plus
Mettez-y mon identifiant toxicologique
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
Et ajoutez-moi/écrivez un message
1.2) messager ICQ
Chat en direct ICQ qui fonctionne 24h/24 et 7j/7 - @mcdonaldsdebtzhlob
Installez le logiciel ICQ sur votre PC ici hxxps://icq.com/windows/ ou sur votre smartphone recherchez "ICQ" dans Appstore / Google market
Écrivez à notre ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Skype
DÉCRYPTAGE DE MCDONALDSDEBTZHLOB
4) Courrier (écrivez uniquement dans des situations critiques car votre e-mail peut ne pas être livré ou être envoyé dans le spam) mcdonaldsdebtzhlob@onionmail.orgDans la ligne d'objet, veuillez écrire votre ID de déchiffrement : -
Après le décryptage, nous vous enverrons les fichiers décryptés et un portefeuille bitcoin unique pour le paiement.
Après le paiement de la rançon pour Bitcoin, nous vous enverrons un programme de décryptage et des instructions. Si nous pouvons décrypter vos fichiers, nous n'avons aucune raison de vous tromper après le paiement.FAQ:
Puis-je bénéficier d'une remise ?
Non. Le montant de la rançon est calculé en fonction du nombre de fichiers de bureau cryptés et les remises ne sont pas fournies. Tous ces messages seront automatiquement ignorés. Si vous ne voulez vraiment que certains fichiers, compressez-les et téléchargez-les quelque part. Nous les décoderons pour le prix de 1 fichier = 1$.
Qu'est-ce que le bitcoin ?
lire bitcoin.org
Où acheter des bitcoins ?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (moyen le plus rapide)
acheter.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
ou utilisez google.com pour trouver des informations où l'acheter
Où est la garantie que je recevrai mes fichiers en retour ?
Le fait même que nous puissions décrypter vos fichiers aléatoires est une garantie. Cela n'a aucun sens pour nous de vous tromper.
Dans quel délai vais-je recevoir la clé et le programme de décryptage après le paiement ?
En règle générale, pendant 15 min
Comment fonctionne le programme de décryptage ?
C'est simple. Vous devez exécuter notre logiciel. Le programme décryptera automatiquement tous les fichiers cryptés sur votre disque dur.'
Détails des fichiers système
| # | Nom de fichier | MD5 |
Détections
Détections : le nombre de cas confirmés et suspects d'une menace particulière détectée sur des ordinateurs infectés, tel que rapporté par SpyHunter.
|
|---|---|---|---|
| 1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |
