发布时间:2019-11-15 20:44:50,来源:中国信息通信研究院
近日,监测到MegaCortex勒索病毒出现新型变种。该变种病毒在加密用户文件和修改Windows登录密码后,并通过锁屏威胁受害者,若不缴纳赎金,则将主机上的文件公开。
MegaCortex勒索病毒是国外较活跃的勒索家族,主要是通过木马(例如Emotet)提供的网络访问,在受害计算机上安装定向勒索软件。
该变种携带澳大利亚“MURSA PTY LTD”公司的数字签名,运行后会在C:\Windows\Temp路径下释放qibfmqkeM5-0.cmd、qibfmqkeM5-1.cmd、qibfmqkeM5-2.cmd、M5-990831122.dll和M5-685889264.dll文件。
qibfmqkeM5-0.cmd,用于删除释放到C:\Windows\Temp路径的文件。qibfmqkeM5-2.cmd,用于删除磁盘卷影。M5-990831122.dll,用于遍历磁盘文件。M5-685889264.dll,用于加密磁盘文件,加密后缀名为.m3g4c0rtx。
.m3g4c0rtx扩展名加密文件,如下图所示:
在加密完后进行锁屏,并且修改用户登录密码:
cmdline:'net user win oo/yUfojOGfTN2Kh'
cmdline:'C:\Windows\system32\net1 user Administrator oo/yUfojOGfTN2Kh'
生成勒索信息文本!-!_README_!-!.rtf,并以“若不缴纳赎金则公开文件”的形式来威胁受害者,如下图所示:
MegaCortex勒索病毒危害巨大,涉及不同行业。目前,已在国外多地区开始传播,不排除在全球传播可能性。
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。提醒广大用户做好病毒检测与防御措施,防范该病毒家族的勒索攻击。
1) 病毒检测查杀:
64位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
2) 病毒防御:
及时给电脑打补丁,修复漏洞。
对重要的数据文件定期进行非本地备份。
不要点击来源不明的邮件附件,不从不明网站下载软件。
尽量关闭不必要的文件共享权限。
更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,对3389等端口进行封堵,防止扩散!
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。
1) https://www.bleepingcomputer.com/news/security/new-megacortex-ransomware-changes-windows-passwords-threatens-to-publish-data/