باج‌افزار جدیدی که برای رهایی قربانی تا ۶۰۰ "بیت‌کوین" درخواست می‌کند!

سرهنگ علی‌محمد رجبی ضمن هشدار درباره باج‌افزار MegaCortex، تغییر پسوند فایلهای رمزنگاری شده را یکی از نشانه‌های این باج‌افزار دانست و گفت: باج‌افزار MegaCortex از الگوریتم AES و RSA برای رمزگذاری فایلهای سیستم قربانی استفاده کرده و پسوند megacortx. را به انتهای فایلهای رمزگذاری شده اضافه می‌کند.

سرپرست مرکز تشخیص و پیشگیری از جرایم سایبری پلیس فتا ناجا ادامه داد: نسخه نخست این باج‌افزار در اوایل سال جاری منتشر شد و شبکه‌های سازمانی را هدف قرار داده است و روند آلوده‌سازی شبکه‌های سازمانی نشان می‌دهد مهاجمان از تروجانها برای دسترسی به سیستمهای آلوده بهره می‌برند.

این مقام انتظامی افزود: نسخه دوم این باج‌افزار در اوایل شهریور ماه سال جاری منتشر شده است.

وی تصریح کرد: طبق بررسی‌های صورت گرفته مشخص شده این باج‌افزار به محض ورود به سیستم قربانی، تمام دایرکتوری‌ها را اسکن کرده و اقدام به رمزنگاری آنها می‌کند.

رجبی خاطرنشان کرد: از آنجاییکه این باج‌افزار از منابع سیستم قربانی بهره می‌برد بنابراین هرچه توان پردازشی سیستم هدف، بالاتر باشد سرعت خواندن، نوشتن و رمزگذاری سریعتر اتفاق خواهد افتاد و پس از اتمام فرایند رمزگذاری، پسوند megacortx  به انتهای فایلها اضافه خواهد شد البته این باج‌افزار فایلهای exe همچنین فایلهای حجم پایین (1kb) را رمزگذاری نمی‌کند.

سرپرست مرکز تشخیص و پیشگیری از جرایم سایبری پلیس فتا ناجا متذکر شد: در ادامه پیام باج‌گیری برای قربانی به نمایش در خواهد آمد و از وی رقمی بین دو تا 600 "بیت‌کوین" درخواست خواهد شد!

این مقام انتظامی درباره روش انتشار این باج‌افزار نیز گفت: نرم‌افزاری به نام Cobolt Strike در سرور DC بارگذاری و اجرا می‌شود تا یک Reverse Shell ایجاد کند که این Shell به سیستم مهاجم بازگردانده می‌شود سپس مهاجم از طریق این shell و از راه دور به سرور DC دسترسی پیدا می‌کند که پس از طی این مراحل، فایل اصلی باج افزار اجرا می‌شود.

وی ادامه داد: در حال حاضر 40 مورد از 65 ضد بدافزار سامانه virustotal، قادر به شناسایی، توقف یا حذف این باج‌افزار هستند.

رجبی درباره روشهای مقابله با این باج‌افزار نیز یادآور شد: با توجه به روشهای نفوذ و انتشار این باج‌افزار، توصیه می‌شود که سیستم عاملهای خود، مخصوصاً  نسخه‌های نصب بر روی سرورها را با وصله‌های امنیتی ارائه شده، به روزرسانی کنید.

سرپرست مرکز تشخیص و پیشگیری از جرایم سایبری پلیس فتا ناجا به شهروندان توصیه کرد اقدامات مربوط به امن‌سازی سرویسهای مایکروسافتی از جمله Active Directory و پروتکل RDP را به طور کامل بر روی سیستمهای خود انجام داده و نرم‌افزارهای امنیتی نصب شده در سیستم عامل خود نظیر آنتی‌ویروس را، به طور مداوم به روزرسانی کنند.