近日,瑞星威脅情報中心捕獲到一個名為“Mimic”的新型勒索軟件,它不僅利用了合法的Everything搜索工具來提高加密效率,還使用了conti勒索軟件的源代碼,極大保證了加密成功機率。同時,“Mimic”勒索還具有關閉防火墻、防止用戶關閉或重啟計算機、清空所有磁盤回收站等諸多惡意功能。
目前,瑞星終端威脅檢測與響應系統(tǒng)(EDR)已可對該勒索的攻擊全過程進行溯源和梳理,基于瑞星公司的RGPT人工智能技術,可讓用戶使用自然語言和可視化圖譜查詢并了解到完整的攻擊鏈。
圖:被“Mimic”勒索軟件攻擊后的勒索信
特點一:利用合法搜索工具提高加密效率
“Mimic”勒索軟件最早被發(fā)現(xiàn)于2022年6月,它有一個顯著的特點,就是利用了合法文件搜索工具Everything的API,來快速搜索想要加密的目標文件,這樣可以最大限度地減少資源利用,提高加密的效率。
特點二:修改并使用其他勒索工具
“Mimic”勒索軟件還有一個特點,就是改進并使用了已經(jīng)泄露的Conti勒索軟件源代碼,在其基礎上增加了訪問共享與端口掃描等功能,這樣不僅提高了勒索軟件開發(fā)效率,同時保證了加密的成功幾率和穩(wěn)定性。
特點三:具有多種惡意功能
“Mimic”勒索軟件為了更好地加密文件,還有很多其他惡意操作行為,如:完全隱藏搜索框和圖標;調(diào)用其他工具關閉防火墻;為了加快文件搜索速度,防止遺漏關鍵數(shù)據(jù)而劫持任務管理器;防止用戶關閉或重啟計算機;清空所有磁盤的回收站,防止受害者從回收站恢復文件等等。