Ransomware Mimic Baru Menyalahgunakan Alat Pencarian Windows 'Everything'

Ransomware Mimic Baru Menyalahgunakan Alat Pencarian Windows 'Everything'

Posted by : Admin , May 02, 2023
Peneliti keamanan menemukan strain ransomware baru yang diberi nama Mimic yang memanfaatkan API dari alat pencarian file 'Everything' untuk Windows guna mencari file yang ditargetkan untuk enkripsi. Menurut peneliti Trend Micro, malware tersebut tampaknya menargetkan pengguna berbahasa Inggris dan Rusia. Serangan ransomware dimulai dengan korban menerima file yang dapat dieksekusi, mungkin melalui email, yang mengekstraksi empat file pada sistem target, termasuk payload utama, file tambahan, dan alat untuk menonaktifkan Windows Defender.
Ransomware ini memiliki beberapa kemampuan seperti, mengumpulkan informasi sistem, membuat persistensi melalui tombol RUN, melewati User Account Control (UAC), menonaktifkan Windows Defender, menonaktifkan telemetri Windows, mengaktifkan anti-shutdown, mengaktifkan tindakan
anti-kill, melepas drive virtual, mengakhiri proses dan layanan, dll. Mimic ransomware menggunakan kemampuan pencarian Everything dalam bentuk Everything32.dll yang dijatuhkan selama tahap infeksi. Everything membantu Mimic menemukan file yang valid untuk enkripsi dan menghindari file sistem yang akan membuat sistem tidak dapat di-boot jika terkunci.


Sumber : https://www.bleepingcomputer.com/news/security/new-mimic-ransomware-abuses-everything-windows-search-tool/