El ransomware Mimic utiliza la API de Everything, un buscador de archivos de PC, para encontrar rápidamente los archivos que cifrará.
Los investigadores de Trend Micro han descubierto un nuevo ransomware, llamado Mimic, que tiene muchas similitudes con el ransomware Conti.
Sin embargo, lo más interesante es que Mimic ransomware utiliza la API del popular software Everything, para buscar rápidamente los archivos que cifrará.
La función de búsqueda de Windows se ha mejorado en Windows 10 y 11, pero muchos usuarios prefieren recurrir a un programa gratuito como Everything para buscar archivos en su PC.
Everything es una utilidad simple y rápida que consume una cantidad mínima de recursos. El ransomware Mimic encontrará rápidamente los documentos personales del usuario para cifrarlos y luego pedir un rescate.
De esta forma, al interactuar con Everything, el malware evita cifrar archivos del sistema operativo o de varias aplicaciones.
El objetivo de los ciberdelincuentes es conseguir cifrar los archivos de los usuarios para luego pedir un rescate, si el usuario necesita los archivos tendrá que pagar la cantidad que pidan los delincuentes.
Mimic añade la extensión .QUIETPLACE a los archivos encriptados, mostrando las instrucciones para pagar el rescate en forma de un archivo de texto abierto con el Bloc de notas de Windows.
Trend Micro explica en detalle cómo funciona Mimic, ransomware que normalmente llega como un archivo adjunto de correo electrónico.
El malware también integra funciones avanzadas para recopilar información sobre sistemas infectados, ejecutarse automáticamente al iniciar el sistema, omitir UAC (Control de cuentas de usuario), deshabilitar Microsoft Defender, bloquear intentos de detección, deshabilitar archivos de unidades, detener procesos y servicios, evitar el uso de la utilidad de restauración del sistema, deshabilitar el apagado del sistema, suspender e hibernar.