Специалисты по информационной безопасности из компании Trend Micro обнаружили новый вариант приложения-вымогателя. Эта версия применяет программный интерфейс стороннего инструмента поисковой системы Windows под названием Everything.

Программа-вымогатель Mimic нацеливается на русскоязычных и англоязычных пользователей. Функциональные возможности у неё следующие:

• Сбор информации о системе.
• Обход контроля учётных записей (UAC).
• Отключение Защитника Windows.
• Отключение телеметрии Windows.
• Активация мер защиты от отключения.
• Размонтирование виртуальных дисков.
• Завершение процессов и сервисов.
• Отключение спящего режима и выключение системы.
• Удаление индикаторов.
• Предотвращение восстановления системы.

Атака начинается с получения жертвой исполняемого файла, скорее всего по электронной почте. При запуске файла извлекается четыре других файла, включая основной, дополнительные и инструменты для отключения Защитника Windows.

Дальше Mimic использует поиск Everything и файл «Everything32.dll», чтобы найти файлы с определёнными именами и расширениями. Это позволяет программе узнать зашифрованные файлы и избегать таких, которые могут сделать систему непригодной для использования в случае блокировки.

Следом приложение добавляет расширение .QUIETPLACE к зашифрованным файлам и показывает записку с требованием выкупа. Платить предлагается в биткоинах, а сумма рассчитывается на основе количества зашифрованных файлов.

Чтобы не стать жертвой приложений-вымогателей, не следует открывать письма от неизвестных адресатов, и тем более вложенные в них файлы. Также не помешает антивирус с регулярным обновлением базы данных и резервные копии важных для вас файлов, напоминает Neowin.