安全研究人员发现了一种新的勒索软件,他们命名为Mimic,它利用Windows的“一切”文件搜索工具的API来查找要加密的文件。
原文链接:https://www.bleepingcomputer.com/news/security/new-mimic-ransomware-abuses-everything-windows-search-tool/
该恶意软件由网络安全公司趋势科技的研究人员于 2022 年 6 月发现,似乎主要针对讲英语和俄语的用户。
Mimic 中的一些代码与 Conti 勒索软件有相似之处,其来源于 2022 年 3 月由乌克兰研究人员泄露。
模仿攻击
模仿勒索软件攻击始于受害者收到可执行文件,大概是通过电子邮件,该可执行文件提取目标系统上的四个文件,包括主有效负载、辅助文件和禁用 Windows Defender 的工具。
Mimic 是一种多功能勒索软件,支持命令行参数以缩小文件目标范围,同时还可以利用多个处理器线程来加快数据加密过程。
新的勒索软件系列具有现代菌株中的多种功能,例如:
- 收集系统信息
- 通过 RUN 键创建持久性
- 绕过用户帐户控制 (UAC)
- 禁用 Windows Defender
- 禁用窗口遥测
- 启动防关机措施
- 启动防杀措施
- 卸载虚拟驱动器
- 终止进程和服务
- 禁用睡眠模式和关闭系统
- 删除指示器
- 抑制系统恢复
终止进程和服务旨在禁用保护措施并释放数据库文件等重要数据,使其可用于加密。
滥用一切
“Everything”是由Voidtools开发的流行的Windows文件名搜索引擎的名称。该实用程序轻巧快捷,使用最少的系统资源,并支持实时更新。
模拟勒索软件使用在感染阶段丢弃的“Everything32.dll”形式的 EverythingEverything 搜索功能来查询受感染系统的特定文件名和扩展名。
一切都有助于 Mimic 找到有效的加密文件,同时避免系统文件在锁定时会导致系统无法启动。
由 Mimic 加密的文件得到“.寂静之地“扩展。赎金票据也会被删除,告知攻击者的要求以及如何通过支付比特币赎金来恢复数据。
Mimic 是一种尚未得到证实的活动的新菌株,但使用 Conti 构建器和 Everything API 证明其作者是有能力的软件开发人员,他们对如何实现目标有清晰的了解。