安全研究人员发现了一种新的勒索软件,他们将其命名为 Mimic,它利用 Windows 的“Everything”文件搜索工具的 API 来查找要加密的文件。
网络安全公司趋势科技的研究人员于 2022 年 6 月发现了该恶意软件,该恶意软件似乎主要针对英语和俄语用户。
Mimic 中的一些代码与 Conti 勒索软件有相似之处,后者的源代码于 2022 年 3 月被一名乌克兰研究人员泄露。
模仿攻击
Mimic 勒索软件攻击从受害者收到一个可执行文件(大概是通过电子邮件)开始,它在目标系统上提取四个文件,包括主要有效负载、辅助文件和禁用 Windows Defender 的工具。
Mimic 是一种多功能勒索软件,支持命令行参数以缩小文件目标范围,同时它还可以利用多个处理器线程来加速数据加密过程。
新的勒索软件系列具有现代毒株中常见的多种功能,例如:
- 收集系统信息
- 通过 RUN 键创建持久性
- 绕过用户帐户控制 (UAC)
- 禁用 Windows Defender
- 禁用 Windows 遥测
- 激活反关机措施
- 激活防杀措施
- 卸载虚拟驱动器
- 终止流程和服务
- 禁用睡眠模式并关闭系统
- 删除指标
- 抑制系统恢复
终止进程和服务旨在禁用保护措施并释放数据库文件等重要数据,使它们可用于加密。
滥用一切
“Everything”是由 Voidtools 开发的流行的 Windows 文件名搜索引擎的名称。 该实用程序轻便快捷,使用最少的系统资源,并支持实时更新。
Mimic 勒索软件在感染阶段以“Everything32.dll”的形式使用 Everything 的搜索功能来查询受感染系统中的特定文件名和扩展名。
一切都有助于 Mimic 找到对加密有效的文件,同时避免系统文件在锁定时导致系统无法启动。
由 Mimic 加密的文件获得“.QUIETPLACE”扩展名。 赎金票据也会被删除,告知攻击者的要求以及如何通过用比特币支付赎金来恢复数据。
Mimic 是一种新的菌株,其活动尚未得到证实,但使用 Conti 构建器和 Everything API 证明其作者是有能力的软件开发人员,他们清楚地了解如何实现他们的目标。
如若转载,请注明出处:https://www.ozabc.com/it/534555.html