Вредонос точечно отключает системные процессы и шифрует пользовательские файлы.
Исследователи безопасности Trend Micro обнаружили новый подвид вымогателей, который они назвали Mimic. Вирус использует API-интерфейсы сторонней поисковой программы для Windows под названием « Everything ».
Вредоносная программа была впервые замечена специалистами ещё в июне 2022 года. По-видимому, она нацелена в основном на англоязычных и русскоязычных пользователей. А часть её кода имеет сходство с программой-вымогателем Conti.
Атака Mimic начинается с того, что жертва получает исполняемый файл, предположительно по электронной почте. Этот файл извлекает ещё четыре файла в целевой системе: основную полезную нагрузку , вспомогательные файлы и инструменты для отключения защитника Windows.
https://www.securitylab.ru/upload/me...wp5rfcsvfk.png
Файлы, которые оставляет Mimic во взломанной системе
Mimic обладает следующими возможностями:<ul><li>Сбор системной информации;</li>
</ul><ul><li>Обход контроля учетных записей пользователей (UAC);</li>
</ul><ul><li>Отключение защитника Windows;</li>
</ul><ul><li>Отключение телеметрии Windows;</li>
</ul><ul><li>Активация мер защиты от отключения и удаления вредоноса;</li>
</ul><ul><li>Размонтирование виртуальных дисков;</li>
</ul><ul><li>Завершение процессов и служб;</li>
</ul><ul><li>Отключение спящего режима и завершение работы системы;</li>
</ul><ul><li>Удаление индикаторов;</li>
</ul><ul><li>Препятствие восстановлению системы.</li>
</ul>Достигается такой обширный список вредоносных действий путём отключения некоторых системных процессов Windows. Так вирус ослабляет защиту системы и ускоряет шифрование.
«Everything» — это популярная программа для поиска файлов в Windows, разработанная компанией Voidtools. Утилита легковесная и быстрая, использует минимум системных ресурсов и позволяет практически мгновенно находить файлы и папки по их именам, размерам, датам, атрибутам и т.д.
Программа-вымогатель Mimic использует возможности Everything с помощью файла «Everything32.dll», извлечённого на стадии заражения. Файл необходим для определения имен и расширений файлов в скомпрометированной системе.
Everything помогает Mimic находить пользовательские файлы, которые можно зашифровать, избегая файлы системные, в случае блокировки которых, система бы просто не запустилась после перезагрузки компьютера.
https://www.securitylab.ru/upload/me...1yk2dxrekh.png
Функция Mimic, использующая API поисковика Everything
Файлы, зашифрованные с помощью Mimic, получают расширение «.QUIETPLACE». Также вымогатель помещает на рабочий стол файл-записку с требованием выкупа, в которой сообщаются все требования и информация о том, как восстановить данные после выплаты выкупа на криптокошелёк.
https://www.securitylab.ru/upload/me...b4ktf1adj1.png
Записка о выкупе Mimic
Таким образом, Mimic — это новый подвид вымогателей, использующий наработки Conti и API-интерфейс программы Everything. Такой подход доказывает, что его авторы являются компетентными разработчиками программного обеспечения, которые четко понимают, как они могут достичь своих целей.