信息來源:4hou
勒索病毒Megacortex新型變種相對(duì)以往所遇到的勒索病毒,在勒索手法上更為激進(jìn):不但加密用戶文件,還會(huì)進(jìn)一步修改Windwos登錄密碼,并在加密完畢后進(jìn)行鎖屏,更進(jìn)一步還會(huì)威脅受害者,若不繳納贖金則將主機(jī)上的文件公開。
一、Megacortex家族
Megacortex勒索病毒是國外較活躍的勒索家族,最初于今年1月份在VirusTotal平臺(tái)上被安全研究員發(fā)現(xiàn),并不斷對(duì)國外多個(gè)行業(yè)進(jìn)行加密勒索攻擊,包括有美國、加拿大、法國和荷蘭等。下圖是Megacortex勒索病毒演進(jìn)的時(shí)間軸:
二、Megacortex變種行為分析
@該變種攜帶澳大利亞“MURSA PTY LTD”公司的數(shù)字簽名,運(yùn)行后會(huì)在C:\Windows\Temp路徑下釋放qibfmqkeM5-0.cmd、qibfmqkeM5-1.cmd、qibfmqkeM5-2.cmd、M5-990831122.dll和M5-685889264.dll文件。
· qibfmqkeM5-0.cmd,用于刪除釋放到C:\Windows\Temp路徑的文件。
· qibfmqkeM5-2.cmd,用于刪除磁盤卷影
· M5-990831122.dll,用于遍歷磁盤文件
· M5-685889264.dll,用于加密磁盤文件,加密后綴名為.m3g4c0rtx
@在加密完后進(jìn)行鎖屏,并且修改了用戶登錄密碼:
· cmdline:'net user win oo/yUfojOGfTN2Kh'
· cmdline:'C:\Windows\system32\net1 user Administrator oo/yUfojOGfTN2Kh'
@生成勒索信息文本!-!_README_!-!.rtf,并以“若不繳納贖金則公開文件”的形式來威脅受害者,如下圖所示:
三、安全建議
解決方案
針對(duì)已經(jīng)出現(xiàn)勒索現(xiàn)象的用戶,由于暫時(shí)沒有解密工具,建議盡快對(duì)感染主機(jī)進(jìn)行斷網(wǎng)隔離。深信服提醒廣大用戶盡快做好病毒檢測(cè)與防御措施,防范該病毒家族的勒索攻擊。
病毒防御
目前大部分勒索病毒加密后的文件都無法解密,注意日常防范措施:
1. 及時(shí)給電腦打補(bǔ)丁,修復(fù)漏洞。
2. 對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份。
3. 不要點(diǎn)擊來源不明的郵件附件,不從不明網(wǎng)站下載軟件。
4. 盡量關(guān)閉不必要的文件共享權(quán)限。
5. 更改賬戶密碼,設(shè)置強(qiáng)密碼,避免使用統(tǒng)一的密碼,因?yàn)榻y(tǒng)一的密碼會(huì)導(dǎo)致一臺(tái)被攻破,多臺(tái)遭殃。
6. 如果業(yè)務(wù)上無需使用RDP的,建議關(guān)閉RDP。
最后,建議企業(yè)對(duì)全網(wǎng)進(jìn)行一次安全檢查和殺毒掃描,加強(qiáng)防護(hù)工作。