Uma nova família de ransomware chamada Mimic surgiu no cenário de ameaças. O ransomware abusa das APIs de uma ferramenta legítima “Everything” para o processo de criptografia.

O malware faz uso de vários threads de processador e APIs do Everything para acelerar o processo de criptografia de dados.

Vários recursos do ransomware incluem a coleta de informações do sistema, ignorando o Controle de Conta do Usuário (UAC), desabilitando o Windows Defender e a telemetria do Windows e inibindo a Recuperação do Sistema, entre outros.

Os ataques começam com a vítima recebendo um executável por e-mail, que extrai quatro arquivos no sistema de destino. Os arquivos incluem a carga útil principal, arquivos auxiliares e ferramentas para desabilitar o Windows Defender.

Durante o processo de infecção o Mimic localiza arquivos válidos para criptografia, evitando arquivos do sistema que tornariam o sistema não inicializável se bloqueado. Os arquivos criptografados pelo Mimic são anexados com a extensão .QUIETPLACE.