近日，瑞星威脅情報中心捕獲到一個名為“Mimic”的新型勒索軟件，它不僅利用了合法的Everything搜索工具來提高加密效率，還使用了conti勒索軟件的源代碼，極大保證了加密成功機率。同時，“Mimic”勒索還具有關閉防火墻、防止用戶關閉或重啟計算機、清空所有磁盤回收站等諸多惡意功能。

目前，瑞星終端威脅檢測與響應系統（EDR）已可對該勒索的攻擊全過程進行溯源和梳理，基于瑞星公司的RGPT人工智能技術，可讓用戶使用自然語言和可視化圖譜查詢并了解到完整的攻擊鏈。

圖：被“Mimic”勒索軟件攻擊后的勒索信

特點一：利用合法搜索工具提高加密效率

“Mimic”勒索軟件最早被發現于2022年6月，它有一個顯著的特點，就是利用了合法文件搜索工具Everything的API，來快速搜索想要加密的目標文件，這樣可以最大限度地減少資源利用，提高加密的效率。

特點二：修改并使用其他勒索工具

“Mimic”勒索軟件還有一個特點，就是改進并使用了已經泄露的Conti勒索軟件源代碼，在其基礎上增加了訪問共享與端口掃描等功能，這樣不僅提高了勒索軟件開發效率，同時保證了加密的成功幾率和穩定性。

特點三：具有多種惡意功能

“Mimic”勒索軟件為了更好地加密文件，還有很多其他惡意操作行為，如：完全隱藏搜索框和圖標；調用其他工具關閉防火墻；為了加快文件搜索速度，防止遺漏關鍵數據而劫持任務管理器；防止用戶關閉或重啟計算機；清空所有磁盤的回收站，防止受害者從回收站恢復文件等等。

瑞星EDR展示攻擊全過程：

瑞星EDR產品已能夠將“Mimic”勒索軟件的關系網進行可視化展示，其強大的威脅調查功能可以從任意節點對該勒索進行溯源梳理，并定位關鍵行為。同時再結合瑞星EDR中特有的RGPT技術，以自然語言向用戶詳細介紹和分析了“Mimic”勒索軟件的整個攻擊流程，全方位還原完整攻擊鏈。

圖：瑞星EDR可視化展示了“Mimic”勒索軟件的攻擊過程

防范建議：

由于勒索軟件帶來的危害較大，因此瑞星安全專家建議：

部署EDR、NDR產品。利用威脅情報追溯威脅行為軌跡，進行威脅行為分析，定位威脅源和目的，追溯攻擊的手段和路徑，從源頭解決網絡威脅，最大范圍內發現被攻擊的節點，以便更快響應和處理。

安裝有效的殺毒軟件，攔截查殺惡意文檔和木馬病毒。殺毒軟件可攔截惡意文檔和木馬病毒，如果用戶不小心下載了惡意文件，殺毒軟件可攔截查殺，阻止病毒運行，保護用戶的終端安全。瑞星旗下產品已可查殺“Mimic”勒索軟件，廣大用戶可安裝使用。

關鍵詞：