باج افزار جدید MegaCortex شبکه های تجاری را هدف قرار می دهد

 باج افزار جدید MegaCortex  شبکه های تجاری را هدف قرار می دهد

اخیرا باج افزار جدیدی به نام MegaCortex کشف شده است که شبکه شرکت ها و ایستگاه های کاری آنها را مورد هدف قرار می دهد. تهیه یک بکاپ از سیستم بسیار ضروری است. در صورت آلودگی نیز فورا میتوانید از فایل های پشتیبان و بکاپ استفاده نمایید.یک راهکار امنیتی و آنتی ویروس قدرتمند کمک شایانی به محافظت از سیستم های مجموعه دارد. پیشنهاد ما به شما آنتی ویروس بیت دیفندر (نسخه ی Gravityzone برای سازمان ها) و (نسخه ی Internet Security برای خانگی) میباشد.

 

هنگامی که به یک شبکه نفوذ می شود، مهاجمان کل شبکه را با توزیع باج افزار از طریق دامین کنترولر ویندوز آلوده می کنند.
در گزارش جدیدی، Sophos اعلام کرده است که قربانیان آلوده به این باج افزار را در ایالات متحده، ایتالیا، کانادا، فرانسه، هلند و ایرلند مشاهده کرده اند. با توجه به اینکه این باج افزار نسبتا جدید است، در حال حاضر الگوریتم های رمزنگاری آن شناخته شده نیست.
 
باج افزار MegaCortex
Sophos اعلام کرده که تروجان های Emotet یا Qakbot که با مگا کورتکس نیز آلوده شده اند در شبکه ها حضور دارند، ممکن است نشان دهنده این باشد که مهاجمان به اپراتورهای تروجان برای دسترسی به سیستم های آلوده به شیوه ای مشابه با Ryuk باج پرداخت می کنند.
"در حال حاضر، ما نمی توانیم بطور مشخص بگوییم که آیا حملات MegaCortex توسط نرم افزارهای مخرب Emotet کمک می شود یا خیر، اما تاکنون در تحقیقات ما (که همچنان به صورت زنده ادامه دارد)، به نظر می رسد که بین حملات MegaCortex و حضور بدافزارهای Emotet  و Qbot در همان شبکه ارتباط وجود دارد."
در حالی که 100٪ روشن نیست که مهاجمان چگونه به شبکه دسترسی پیدا میکنند ، قربانیان به Sophos گزارش کرده اند که حملات از یک دامین کنترلر در معرض خطر رسیده است.
در دامین کنترلر، cobolt Strike کاهش یافته و اجرا می شود تا یک پوسته معکوس به میزبان مهاجم بازگردانده شود.
با استفاده از این پوسته، مهاجمان از راه دور به دامین کنترلر دسترسی پیدا می کنند و آن را برای توزیع یک نسخه از PsExec ، اصلی ترین فایل اجرایی بدافزار و فایل بچ همه کامپیوترها را در شبکه پیکربندی میکنند. سپس فایل بچ را از طریق PsExec از راه دور اجرا می کند.
فایل های بچی که توسط Sophos دیده می شوند، 44 فرایند متفاوت و 199 سرویس ویندوز را متوقف خواهند کرد و 194 سرویس را غیرفعال خواهند کرد.
از بین بردن فرآیندها توسط بچ فایل
 
پس از متوقف شدن تمام خدماتی که مانع از اجرای بدافزار و یا رمزگذاری فایل ها می شود، فایل بچ فایل اصلی بدافزار را به نام winnit.exe اجرا می کند.
 
 
فایل اجرایی winnit.exe با روش کدگذاری base64 راه اندازی خواهد شد. این بدافزار باعث استخراج DLL به صورت تصادفی و با فایل اجرایی rundll32.exe اجرا می شوند. این DLL جزء باج افزارهای فعلی است که یک کامپیوتر را رمزگذاری می کند.
هنگام رمزگذاری یک کامپیوتر، این باج افزار پسوند aes128ctr. را به فایل های رمزگذاری شده اضافه می کند.
همچنین یک فایل با استفاده از همان نام DLL تصادفی ایجاد می کند و پسوند tsv. را مانندarbcxdfx.tsv  اضافه می کند. در نهایت، این باج افزار یک یادداشت به نام !!! _ READ_ME _ !!!. txt ایجاد می کند که حاوی آدرس های ایمیلی است که برای تماس با هکرها استفاده می شود.
آدرس های ایمیل shawhart1542925@mail.com و anderssperry6654818@mail.com می باشد.
 
 
 
از خودتان در برابر باج افزار MegaCortex محافظت کنید
باج افزار تنها زمانی باعث آسیب رساندن به شما خواهد شد که هیچ راهی برای بازیابی اطلاعات خود نداشته باشید، مهمترین مسئله این است که همیشه یک بک آپ مطمئن از فایل های خود داشته باشید. این بک آپ باید به صورت آفلاین ذخیره شود و برای باج افزار قابل دسترس نباشد.
با توجه به اینکه این باج افزار توسط اسپم منتشر نمی شود، ممکن است که توسط تروجان ها نصب شده باشد. بنابراین مهم است که همه کاربران در مورد چگونگی شناسایی هرزنامه های مخرب به درستی آموزش داده شوند و بدون اطلاع از اینکه چه کسی و چرا فرستاده، هیچ یک از پیوست ها را باز نکنند.
تهیه یک بکاپ از سیستم بسیار ضروری است. در صورت آلودگی نیز فورا میتوانید از فایل های پشتیبان و بکاپ استفاده نمایید.یک راهکار امنیتی و آنتی ویروس قدرتمند کمک شایانی به محافظت از سیستم های مجموعه دارد. پیشنهاد ما به شما آنتی ویروس بیت دیفندر (نسخه ی Gravityzone برای سازمان ها) و (نسخه ی Internet Security برای خانگی) میباشد. دقت داشته باشید آنتی ویروسی قادر به شناسایی و جلوگیری از باج افزاران میباشد که هوش مصنوعی آن قوی باشد. بیت دیفندر از این حیث طبق تحلیل سایت مستقل av-comparatives.org بهترین هوش مصنوعی را دارد.
تهیه ی فایروال سخت افزاری از دیگر گزینه های روی میز است. فایروال نیز کمک بسیاری به سیستم های شما میکند و دسترسی های مجاز و غیر مجاز را بررسی میکند.
راه حل: متاسفانه پس از آلودگی فایل های شما، راهی برای بازگشت فایل هایتان نمیباشد.
برای اطلاعات بیشتر در خصوص چگونگی مقابله با باج افزاران اینجا کلیک کنید.

منبع : /https://www.bleepingcomputer.com/news/security/new-megacortex-ransomware-found-targeting-business-networks