ランサムウェアを模倣する

サイバーセキュリティ研究者は、Voidtools が開発した Windows ファイル名検索エンジンである Everything の API を利用する、これまで知られていなかったランサムウェア株に関する詳細を発表しました。 Mimic として追跡されるこのランサムウェアは、2022 年 6 月に初めて発見され、ロシア語と英語を話すユーザーの両方を標的にしているようです。

Mimic Ransomware には、シャドウ ボリューム コピーの削除、複数のアプリケーションやサービスの終了、Everything32.dll 関数を悪用してターゲット ファイルの暗号化をクエリするなど、複数の機能が備わっています。この脅威は、2022 年 3 月にリークされたConti ランサムウェアビルダーから少なくとも部分的に開発されたと考えられています。

ランサムウェアの感染チェーンを模倣する

Mimic の脅威は、侵害されたデバイスに実行可能ファイルとして展開され、次に、Everything64.dll を装ったパスワードで保護されたアーカイブを含む複数のバイナリをドロップします。このアーカイブにはランサムウェアのペイロードが含まれています。また、Windows Defender および正規の sdel バイナリを無効にするツールも含まれています。

Mimic Ransomware が実行されると、そのコンポーネントが %Temp%/7zipSfx フォルダーにドロップされ、パスワードで保護された Everything64.dll が、7za.exe とコマンド %Temp%\7ZipSfx.000\7za を使用して同じディレクトリに抽出されます。 .exe" x -y -p20475326413135730160 Everything64.dll。さらに、session.tmp という名前のセッション キー ファイルを同じディレクトリにドロップします。このファイルは、プロセスが中断された場合に暗号化を続行するために使用されます。

その後、Mimic Ransomware は、ドロップされたすべてのファイルを「%LocalAppData%{Random GUID}\」にコピーしてから、自身の名前を「bestplacetolive.exe」に変更し、元のファイルを %Temp% から削除します。

Mimic ランサムウェアの脅威的な機能

Mimic Ransomware は、複数のスレッドと CreateThread 関数を使用してファイルをすばやく暗号化し、セキュリティ研究者が分析するのを困難にします。システム情報の収集、RUN キーによる永続性の作成、ユーザー アカウント制御 (UAC) のバイパス、Windows Defender とテレメトリの無効化、アンチ シャットダウン対策の有効化、プロセスとサービスの終了、システムへの干渉など、幅広い機能を備えています。システム回復など。

暗号化の目標を達成するために、Mimic Ransomware は、正規の Windows ファイル名検索エンジンである Everything32.dll を悪用して、特定のファイル拡張子とファイル名を照会し、暗号化のためにパスを取得するか、暗号化プロセスから除外します。標的のファイルを暗号化した後、この脅威はファイル名に「.QUIETPLACE」拡張子を追加します。この脅威は、身代金を要求する複数のメッセージを表示します。1 つは起動プロセス中、1 つは「Decrypt_me.txt」という名前のテキスト ファイルとして、もう 1 つはデバイスの画面のポップアップ ウィンドウに表示されます。

ポップアップ ウィンドウとテキスト ファイルに表示される Mimic Ransomware の要求の全文は次のとおりです。

「すべてのファイルは私たちのウイルスで暗号化されています。
あなたの一意の ID:

ファイルの完全な復号化を購入できます
ただし、料金を支払う前に、お客様のファイルを本当に復号化できるかどうかを確認できます。
暗号化キーと ID はコンピュータに固有であるため、ファイルを確実に返却できます。

これをする：
1) 一意の ID を送信し、テスト復号化のために最大 3 つのファイルを送信します
連絡先
1.1) TOX メッセンジャー (高速で匿名)
hxxps://tox.chat/download.html
qtoxをインストールする
歌うを押す
自分の名前を作成する
プレスプラス
そこに私のtox IDを入れてください
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
そして私を追加/メッセージを書いてください
1.2)ICQメッセンジャー
年中無休 24 時間対応の ICQ ライブチャット - @mcdonaldsdebtzhlob
hxxps://icq.com/windows/ から PC に ICQ ソフトウェアをインストールするか、スマートフォンで Appstore / Google マーケットで「ICQ」を検索します。
ICQ @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob に書き込みます
1.3)スカイプ
MCDONALDSDEBTZHLOB 復号化
4) メール (メールが配信されない、またはスパムに分類される可能性があるため、重大な状況でのみ書き込みます) mcdonaldsdebtzhlob@onionmail.org

件名に復号化 ID を記入してください: -

復号化後、復号化されたファイルと支払い用の独自のビットコイン ウォレットをお送りします。
ビットコインの身代金を支払った後、復号化プログラムと手順をお送りします。あなたのファイルを解読できれば、支払い後にあなたをだます理由はありません。

よくある質問：
値引きはできますか？
いいえ。身代金の金額は、暗号化された Office ファイルの数に基づいて計算され、割引は提供されません。そのようなメッセージはすべて自動的に無視されます。本当に一部のファイルだけが必要な場合は、圧縮してどこかにアップロードしてください。 1ファイル＝1ドルの価格でデコードいたします。
ビットコインとは？
bitcoin.org を読む
ビットコインはどこで購入できますか?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (最速の方法)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
または google.com を使用して、購入先の情報を検索してください
ファイルが戻ってくるという保証はどこにありますか?
あなたのランダムなファイルを解読できるという事実こそが保証です。私たちがあなたをだますのは無意味です。
支払い後、キーと復号化プログラムはどのくらいで届きますか?
原則として15分以内
復号化プログラムはどのように機能しますか?
それは簡単です。当社のソフトウェアを実行する必要があります。プログラムは、HDD 上のすべての暗号化されたファイルを自動的に復号化します。