باج‌گیری از طریق باج‌افزار MegaCortex

سرپرست مرکز تشخيص و پيشگيري از جرايم سايبري پليس فتاي ناجا در خصوص باج‌افزار MegaCortex به شهروندان هشدار داد.سرهنگ علي‌محمد رجبي تغيير پسوند فايل‌هاي رمزنگاري شده را يکي از نشانه‌هاي اين باج‌افزار دانست و گفت: باج‌افزار MegaCortex از الگوريتم AES و RSA جهت رمزگذاري فايل‌هاي سيستم قرباني استفاده کرده و پسوند.megacortx را به انتهاي فايل‌هاي رمزگذاري شده، اضافه مي‌کند.وي ادامه داد: نسخه اول اين باج‌افزار در اوايل سالجاري منتشر شد و شبکه‌هاي سازماني را هدف قرار داده است و روند آلوده‌سازي شبکه‌هاي سازماني نشان مي‌دهد مهاجمان از تروجان‌ها براي دسترسي به سيستم‌هاي آلوده بهره مي‌برند.سرپرست مرکز تشخيص و پيشگيري از جرايم سايبري پليس فتاي ناجا افزود: نسخه دوم اين باج‌افزار در اوايل شهريورماه سالجاري منتشرشده است.اين مقام مسئول بيان کرد: طبق بررسي‌هاي صورت گرفته مشخص شده است اين باج‌افزار به محض ورود به سيستم قرباني تمامي دايرکتوري‌ها را اسکن کرده و اقدام به رمزنگاري آنان مي‌کند.سرهنگ رجبي گفت: از آنجايي که اين باج‌افزار از منابع سيستم قرباني بهره مي‌برد، بنابراين هرچه توان پردازشي سيستم هدف، بالاتر باشد سرعت خواندن، نوشتن و رمزگذاري سريعتر اتفاق خواهد افتاد و پس از اتمام فرايند رمز گذاري پسوند megacortx به انتهاي فايل‌ها اضافه خواهد شد، البته اين باج‌افزار فايل‌هاي exe و همچنين فايل‌هاي حجم پايين (1 kb) را رمزگذاري نمي‌کند.وي افزود: در ادامه پيام باج‌گيري براي قرباني به نمايش در خواهد آمد و از وي رقمي بين 2 الي 600 بيت‌کوين درخواست خواهد شد.اين مقام انتظامي در خصوص روش انتشار اين باج‌افزار اظهارداشت: نرم‌افزاري به‌نام Cobolt Strike در سرور DC بارگذاري و اجرا مي‌شود تا يک Reverse Shell ايجاد کند که اين Shell به سيستم مهاجم بازگردانده مي‌شود. سپس مهاجم از طريق اين shell و از راه دور به سرور DC دسترسي پيدا مي‌کند که پس از طي اين مراحل، فايل اصلي باج‌افزار اجرا مي‌شود.سرپرست مرکز تشخيص و پيشگيري از جرايم سايبري پليس فتاي ناجا ادامه داد: در حال حاضر 40 مورد از 65 ضد بدافزار سامانه virustotal، قادر به شناسايي، توقف و يا حذف اين باج‌افزار هستند.سرهنگ رجبي در خصوص روش‌هاي مقابله با اين باج‌افزار گفت:با توجه به روش‌هاي نفوذ و انتشار اين باج‌افزار، توصيه مي‌شود که سيستم عامل‌هاي خود، مخصوصا نسخه‌هاي نصب بر روي سرور‌ها را با وصله‌هاي امنيتي ارائه شده، به‌روزرساني کنيد.وي به شهروندان توصيه کرد: اقدامات مربوط به امن‌سازي سرويس‌هاي مايکروسافتي از جمله Active Directory و پروتکل RDP را به‌طور کامل بر روي سيستم‌هاي خود انجام دهيد و نرم‌افزار‌هاي امنيتي نصب شده درون سيستم عامل خود نظير آنتي‌ويروس را به‌طور مداوم به‌روزرساني کنيد.