Специалисты Trend Micro обнаружили нового вымогателя Mimic, который ищет файлы для шифрования при помощи API поискового инструмента Everything в Windows. Малварь нацелена в основном на англо- и русскоязычных пользователей, а код Mimic имеет сходства с вымогателем Conti, исходники которого утекли в открытый доступ в марте 2022 года.
Атаки Mimic начинаются с того, что жертва получает по почте исполняемый файл, который извлекает в целевую систему четыре файла, включая основную полезную нагрузку вымогателя, вспомогательные файлы и инструменты для отключения Windows Defender.
Исследователи пишут, что Mimic представляет собой универсальное вымогательское ПО, поддерживающее аргументы командной строки для обнаружения конкретных файлов, а также может использовать несколько потоков процессора для ускорения процесса шифрования.
Малварь обладает рядом возможностей, характерных для современных вымогательских инструментов, включая:
- сбор информации о системе;
- закрепление в системе при помощи ключа RUN;
- обход User Account Control(UAC);
- отключение Windows Defender;
- отключение телеметрии Windows;
- меры для защиты от отключения;
- меры для защиты от удаления;
- размонтирование виртуальных дисков;
- завершение процессов и сервисов;
- отключение спящего режима и выключение системы;
- удаление индикаторов;
- запрет на восстановления системы.
В отчете отмечается, что функция ликвидации процессов и служб направлена на отключение защиты, что позволяет освободить важные данные (например, базы данных), сделав их доступными для шифрования.
Наиболее интересной особенностью Mimic эксперты называют злоупотребление функциональностью Everything, filename-поисковика файлов в Windows, разработанного специалистами Voidtools.
Вымогатель использует возможности Everything (Everything32.dll), доставляя DLL на машину жертвы на этапе заражения, чтобы найти конкретные имен файлов и расширения в скомпрометированной системе. В результате Everything помогает Mimic находить файлы, подходящие для шифрования, избегая при этом системных файлов, порча которых может привести к невозможности загрузки системы.
Файлы, зашифрованные Mimic, получают расширение .QUIETPLACE, а записка с требованием выкупа содержит стандартные для такой малвари условия, то есть операторы вымогателя требуют у жертвы криптовалюту за расшифровку пострадавших файлов.