Ekspertët e Trend Micro kanë zbuluar një ransomware të ri që përdor API-në e mjetit të mirënjohur Voidtools Everything për të kërkuar skedarë për të enkriptuar. Mimiku u pa për herë të parë në qershor 2022, por sulmet janë shtuar së fundmi. Kodi i malware duket se rrjedh nga Conti’s (i postuar në internet nga një studiues ukrainas).
Mimik: Funksioni i Ransomware
Sulmi fillon duke dërguar një ekzekutues (të bashkangjitur me email) i cili, kur niset, shkarkon katër skedarë në kompjuter (të kopjuar në drejtorinë Temp): 7za.exe (ekzekutues legjitim 7-Zip që përdoret për nxjerrjen e ransomware) , Everything.exe (gjithçka është e ekzekutueshme legjitime), Everything32.dll (DLL legjitime e gjithçkaje) dhe Everything32.dll (arkivi 7-Zip që përmban ransomware dhe skedarë të tjerë). Skedarët më pas zhvendosen në %LocalAppData% dhe fshihen nga drejtoria Temp.
Duke analizuar kodin e Mimic, ekspertët e Trend Micro zbuluan veçori të ndryshme. Ransomware mund të mbledhë informacione të sistemit, të anashkalojë Kontrollin e llogarisë së përdoruesit, të çaktivizojë Microsoft Defender, të vrasë proceset dhe shërbimet, të parandalojë rikuperimin e sistemit.
Natyrisht qëllimi kryesor është të kriptoni skedarët. Mjeti Voidtools Everything përdoret për të kërkuar skedarë me shtesa specifike. Në fund të operacionit, shtohet zgjerimi .QUIETPLACE dhe shfaqet një dokument teksti me udhëzimet që duhen ndjekur për të paguar shpërblimin në Bitcoin.
Për të kufizuar rreziqet, rekomandohet gjithmonë të bëni kopje rezervë të të dhënave tuaja shpesh dhe të përdorni një zgjidhje sigurie që zbulon ransomware dhe lloje të tjera malware.
This is a companion discussion topic for the original entry at https://zero1.al/2023/01/28/mimic-perdor-everything-per-te-gjetur-dhe-enkriptuar-file/