Im Internet kursiert eine neue Ransomware, die Dateien schneller als die meisten anderen verschlüsselt, weil sie ein beliebtes Windows-Suchtool eines Drittanbieters verwendet, um genau zu wissen, wonach sie suchen muss.
Dieser neue Stamm von Ransomware, der von Trend Micro erstmals im Juni letzten Jahres entdeckt wurde, trägt den Namen Mimic, basierend auf einer Zeichenfolge, die die Sicherheitsforscher des Unternehmens in den Binärdateien gefunden haben. Laut einem neuen Bericht ist die Mimic-Ransomware bislang vor allem gegen russisch- und englischsprachige Nutzerinnen und Nutzer im Einsatz.
Interessant ist, dass laut BleepingComputer einige der Code-Fragmente, die in Mimic gefunden wurden, der Ransomware Conti ähneln. Dies lässt sich wahrscheinlich darauf zurückführen, dass der Quellcode von Conti im März 2022 von einem ukrainischen Forscher veröffentlicht wurde, nachdem sich seine Entwickler Russland angeschlossen hatten.
Mimic deaktiviert Anti-Virus-Software
Die Mimic-Ransomware wird derzeit über ausführbare Dateien (.exe) verbreitet, die per E-Mail an die Opfer gesendet werden. Sobald die ausführbare Datei geöffnet wird, extrahiert sie ihre schädlichen Funktionen. Außerdem enthält sie Tools, mit denen Windows Defender auf dem Computer des Opfers deaktiviert werden kann.
Everything Search beschleunigt die Verschlüsselung
Mimic hat einige Tricks auf Lager, um den Verschlüsselungsprozess der Dateien seiner Opfer zu beschleunigen. Dazu gehören die Verwendung von allen mehreren Prozessorkernen und Befehlszeilenargumenten, um die Dateiziele einzugrenzen.
Was Mimic im Vergleich zu früheren Ransomware-Stämmen so viel schneller und effizienter macht, ist die Art und Weise, wie er das Suchtool „Everything“ zum Auffinden der Dateien einsetzt, die er als Ziel hat. Everything wurde von Voidtools entwickelt und ist eine Suchfunktion für Dateinamen in Windows, die viel effizienter und schneller ist als die Windows-Suche.
Durch die Verwendung von Everything auf einem Zielsystem ist Mimic in der Lage, Dateien zu finden, die verschlüsselt werden können, wie z. B. Dokumente. Systemdateien, die verhindern würden, dass ein Computer überhaupt eingeschaltet werden kann, wenn er gesperrt ist, werden hingegen umgangen.
Die von der Mimic-Ransomware verschlüsselten Dateien erhalten die Erweiterung „.QUIETPLACE“ und ein Erpresserbrief mit dem Namen „Decrypt_me.txt“ wird irgendwo auf dem System des Benutzers abgelegt. Dieser Erpresserbrief erklärt, dass die Opfer die Angreifer in Bitcoin bezahlen müssen, um ihre Dateien zu entschlüsseln. Für den Preis von „1 Datei = 1$“ können die Angreifer jedoch nur einige der wichtigsten Dateien des Opfers entschlüsseln. Für Opfer, die nur wenige Dateien von ihrem gesperrten System benötigen und ohnehin ein Upgrade auf einen neuen PC planen, könnte sich dies lohnen.
Es handelt sich hierbei um das erste Mal, dass ein Stamm von Ransomware ein populäres Tool eines Drittanbieters nutzt, um den Verschlüsselungsprozess zu beschleunigen. Das Suchtool Everything muss nicht einmal auf dem Computer des Opfers installiert werden, da es in der schädlichen ausführbaren Datei enthalten ist, die den PC mit Mimic infiziert.
So kann man sich vor Ransomware schützen
Vermeiden Sie das Öffnen von Anhängen in E-Mails von unbekannten Absendern, ebenso wie bei Malware und anderen Viren. Ebenso sollten Sie keine illegale Software oder Dateien von Websites herunterladen, die nicht seriös erscheinen.
Moderne Antivirensoftware kann viele Ransomware-Arten erkennen, bevor sie Ihr System infizieren. Antivirensoftware kann Ihre Dateien jedoch nicht mehr entsperren, wenn sie von einem Angreifer mit Ransomware verschlüsselt wurden. Daher ist es ratsam, den besten Cloud-Speicher zu verwenden. So können Sie eine zusätzliche Kopie Ihrer wichtigsten Dateien sicher in der Cloud speichern.
Sollten Sie Opfer von Ransomware geworden sein, haben wir eine Schritt-für-Schritt-Anleitung zur Wiederherstellung Ihrer Dateien für Sie. Gleichzeitig veröffentlichen Bitdefender und andere Cybersicherheitsunternehmen häufig Entschlüsselungstools für Ransomware wie die Darkside-Ransomware. Selbst wenn Sie kein Geld haben oder den Cyberkriminellen kein Lösegeld zahlen möchten, besteht also die Möglichkeit, dass Sie Ihre Dateien eines Tages wiederherstellen können.
Mimic-Ransomware ist relativ neu und wir wissen noch nicht viel darüber, wie sie in Angriffen eingesetzt wird oder wer dahinter steckt.