近日，瑞星威脅情報(bào)中心捕獲到一個(gè)名為“Mimic”的新型勒索軟件，它不僅利用了合法的Everything搜索工具來提高加密效率，還使用了conti勒索軟件的源代碼，極大保證了加密成功機(jī)率。同時(shí)，“Mimic”勒索還具有關(guān)閉防火墻、防止用戶關(guān)閉或重啟計(jì)算機(jī)、清空所有磁盤回收站等諸多惡意功能。

目前，瑞星終端威脅檢測與響應(yīng)系統(tǒng)（EDR）已可對該勒索的攻擊全過程進(jìn)行溯源和梳理，基于瑞星公司的RGPT人工智能技術(shù)，可讓用戶使用自然語言和可視化圖譜查詢并了解到完整的攻擊鏈。

圖：被“Mimic”勒索軟件攻擊后的勒索信

特點(diǎn)一：利用合法搜索工具提高加密效率

“Mimic”勒索軟件最早被發(fā)現(xiàn)于2022年6月，它有一個(gè)顯著的特點(diǎn)，就是利用了合法文件搜索工具Everything的API，來快速搜索想要加密的目標(biāo)文件，這樣可以最大限度地減少資源利用，提高加密的效率。

特點(diǎn)二：修改并使用其他勒索工具

“Mimic”勒索軟件還有一個(gè)特點(diǎn)，就是改進(jìn)并使用了已經(jīng)泄露的Conti勒索軟件源代碼，在其基礎(chǔ)上增加了訪問共享與端口掃描等功能，這樣不僅提高了勒索軟件開發(fā)效率，同時(shí)保證了加密的成功幾率和穩(wěn)定性。

特點(diǎn)三：具有多種惡意功能

“Mimic”勒索軟件為了更好地加密文件，還有很多其他惡意操作行為，如：完全隱藏搜索框和圖標(biāo)；調(diào)用其他工具關(guān)閉防火墻；為了加快文件搜索速度，防止遺漏關(guān)鍵數(shù)據(jù)而劫持任務(wù)管理器；防止用戶關(guān)閉或重啟計(jì)算機(jī)；清空所有磁盤的回收站，防止受害者從回收站恢復(fù)文件等等。

瑞星EDR展示攻擊全過程：

瑞星EDR產(chǎn)品已能夠?qū)ⅰ癕imic”勒索軟件的關(guān)系網(wǎng)進(jìn)行可視化展示，其強(qiáng)大的威脅調(diào)查功能可以從任意節(jié)點(diǎn)對該勒索進(jìn)行溯源梳理，并定位關(guān)鍵行為。同時(shí)再結(jié)合瑞星EDR中特有的RGPT技術(shù)，以自然語言向用戶詳細(xì)介紹和分析了“Mimic”勒索軟件的整個(gè)攻擊流程，全方位還原完整攻擊鏈。

圖：瑞星EDR可視化展示了“Mimic”勒索軟件的攻擊過程

防范建議：

由于勒索軟件帶來的危害較大，因此瑞星安全專家建議：

部署EDR、NDR產(chǎn)品。利用威脅情報(bào)追溯威脅行為軌跡，進(jìn)行威脅行為分析，定位威脅源和目的，追溯攻擊的手段和路徑，從源頭解決網(wǎng)絡(luò)威脅，最大范圍內(nèi)發(fā)現(xiàn)被攻擊的節(jié)點(diǎn)，以便更快響應(yīng)和處理。

安裝有效的殺毒軟件，攔截查殺惡意文檔和木馬病毒。殺毒軟件可攔截惡意文檔和木馬病毒，如果用戶不小心下載了惡意文件，殺毒軟件可攔截查殺，阻止病毒運(yùn)行，保護(hù)用戶的終端安全。瑞星旗下產(chǎn)品已可查殺“Mimic”勒索軟件，廣大用戶可安裝使用。

關(guān)鍵詞：