El ransomware Mimic utilitza l'API d'Everything, un cercador d'arxius de PC, per trobar ràpidament els arxius que xifrarà.
Els investigadors de Trend Micro han descobert un nou ransomware, anomenat Mimic, que té moltes similituds amb el ransomware Conti.
No obstant això, el més interessant és que Mimic ransomware utilitza l'API del popular programari Everything, per cercar ràpidament els arxius que xifrarà.
La funció de cerca de Windows s'ha millorat en Windows 10 i 11, però molts usuaris prefereixen utilitzar un programari de franc com Everything per buscar arxius en el seu PC.
Everything és una utilitat simple i ràpida que consumeix una quantitat mínima de recursos. El ransomware Mimic trobarà ràpidament els documents personals de l'usuari per xifrar-los i després demanar un rescat.
D'aquesta manera, en interactuar amb Everything, el malware evita xifrar arxius del sistema operatiu o de diverses aplicacions.
L'objectiu dels ciberdelinqüents és aconseguir xifrar els arxius dels usuaris per després demanar un rescat, si l'usuari necessita els arxius haurà de pagar la quantitat que demanin els delinqüents.
Mimic afegeix l'extensió .QUIETPLACE als arxius encriptats, mostrant les instruccions per pagar el rescat en forma d'un arxiu de text obert amb el Bloc de notes de Windows.
Trend Micro explica detalladament com funciona Mimic, ransomware que normalment arriba com un arxiu adjunt de correu electrònic.
El malware també integra funcions avançades per recopilar informació sobre sistemes infectats, executar-se automàticament en iniciar el sistema, ometre UAC (Control de comptes d'usuari), deshabilitar Microsoft Defensar, bloquejar intents de detecció, deshabilitar arxius d'unitats, detenir processos i serveis, evitar l'ús de la utilitat de restauració del sistema, deshabilitar l'apagat del sistema, suspendre i hibernar.
