megacortex是一个相对较新的勒索制造器家庭,继续2019年的趋势,威胁行动者开发专门针对企业的有针对性的攻击勒索软件。虽然GandCrab显然关闭了它的大门,但其他几个定制的、手工的勒索软件家族已经取而代之,包括罗宾汉,关闭巴尔的摩市,reldesh., 和《孤岛危机》/佛法

被恶意软件检测为赎金。必威平台APPMegaCortex, MegaCortex在5月底发现了商业检测的高峰,自那以后放缓为涓涓流,追随其前身Troldesh和crisis的类似趋势。

必威平台APP伪块Megacortex

我们的反赎金软件技术检测到ransom.megacortex即使在添加过度之前也是如此。

通用检测megacortex

分配

Megacortex的分发方法仍然没有完全清楚,但有迹象表明,使用Trojan Downloaders将损失在受损的计算机上丢弃。一旦公司网络受到损害,攻击者就会尝试访问域控制器并从那里分布整个网络。

可能负责Megacortex的分发的疑似特洛伊木马QAKBOT AKA QBOT.情绪化, 和Rietspoof..Rietspoof是一种通过即时通讯程序传播的多级恶意软件。

执行

在实际的赎金软件进程开始之前,部署了多个工具和脚本以禁用某些安全进程并尝试访问域控制器的访问,以便在网络上分布册制软件。

一旦勒索软件过程被激活,它会创建以下文件:

  • ********。日志
  • ********。TSV.
  • * * * * * * * * . dll

********是八个随机字符,对于受影响系统上的三个文件相同。这些名称也在赎金笔记中提到!!! _ READ_ME _ !!!。TXT。

勒索说明、日志文件和tsv文件都位于根驱动器中。另一方面,dll可以在%临时%文件夹

加密文件的扩展名为.aes128ctr。加密例程跳过扩展名文件:

  • .aes128ctr.
  • 。蝙蝠
  • .cmd
  • config
  • .dll.
  • 。可执行程序
  • .lnk
  • .manifext
  • .mui
  • .olb.
  • .ps1.
  • .sys.
  • .tlb.
  • .tmp

该例程还会跳过文件:

  • Desktop.ini.
  • ********。TSV.
  • ********。日志

它还跳过%windir%下的所有文件和子文件夹,%windir%\temp除外。此外,MegaCortex删除了受影响系统上的所有影子副本。

加密例程完成后,Megacortex显示出这种剧烈的赎金票据,在戏剧上高,语法正确性低。

Megacortex赎金注意事项

卓越的赎金票据报价

来自赎金的一些值得注意的引号注意:

  • “所有计算机都损坏了Megacortex恶意软件,它已加密您的文件。”因此,Megacortex的名称来自威胁演员本身,而不是发现它的安全研究人员。(这是帮助行业使用统一检测名称的一种方法。)
  • “不要重启或关机,这一点很重要。”这意味着其中一个加密程序的种子如果计算机重新启动,将无法恢复。
  • “软件价格将包括保证我们永远不会给你们公司带来不便的保证。”这是一个关于威胁行动者对恶意软件攻击有多大粒度控制的信号,还是只是犯罪分子做出的又一个空洞承诺?
  • “我们只能给你开门。你是那个必须走过去的人。”一个引用矩阵还是一个失败的小说家?

勒索信还明确表示,解密程序所需的信息包含在随机命名的tsv文件中。那么,如果除私钥外的所有信息都在受感染的计算机上,这是否意味着很快就会有一个免费的解密器呢?这取决于许多其他因素,但如果网络罪犯对每次感染使用相同的私钥,就有可能逃脱。

毫无疑问,我们需要一些逆向工程来得到这些问题的明确答案,但它确实给了我们一些线索。

对策

鉴于确切的感染载体尚不清楚,很难对这个勒索软件家族给出具体的保护建议。但是有一些对付勒索软件攻击的对策总是适用的,在这里重复一下可能会有用:

  • 扫描带有附件的电子邮件。具有附件的可疑邮件不应到达最终用户而不首先选中。
  • 用户教育。应该教授用户以避免通过邮件或即时消息下载发送给他们的附件,而无需关闭仔细审查。
  • 黑名单。大多数端点不需要能够运行脚本。在这种情况下,您可以将wscript.exe或Powershell等其他脚本选项列入黑名单。
  • 更新软件和系统。更新您的系统和软件可以插入漏洞并在托架处持续已知漏洞。
  • 备份文件。可靠且易于部署的备份可以缩短恢复时间。

我们还远远不知道关于这个勒索软件的一切,但当我们发现新的信息,我们会让我们的博客读者更新。同时,企业必须采用最佳实践保护所有勒索软件

毕竟,我们只能向您展示门。你是那个必须穿过它的人。

保持安全,大家好!