سرپرست مرکز تشخیص و پیشگیری از جرایم سایبری پلیس فتا ناجا درباره باجافزار "MegaCortex" هشدار داد؛ این باجافزار در پیام باجگیری خود برای قربانی رقمی تا ۶۰۰ "بیتکوین" درخواست میکند!
سرهنگ علیمحمد رجبی ضمن هشدار درباره باجافزار MegaCortex، تغییر پسوند فایلهای رمزنگاری شده را یکی از نشانههای این باجافزار دانست و گفت: باجافزار MegaCortex از الگوریتم AES و RSA برای رمزگذاری فایلهای سیستم قربانی استفاده کرده و پسوند megacortx. را به انتهای فایلهای رمزگذاری شده اضافه میکند.
سرپرست مرکز تشخیص و پیشگیری از جرایم سایبری پلیس فتا ناجا ادامه داد: نسخه نخست این باجافزار در اوایل سال جاری منتشر شد و شبکههای سازمانی را هدف قرار داده است و روند آلودهسازی شبکههای سازمانی نشان میدهد مهاجمان از تروجانها برای دسترسی به سیستمهای آلوده بهره میبرند.
این مقام انتظامی افزود: نسخه دوم این باجافزار در اوایل شهریور ماه سال جاری منتشر شده است.
وی تصریح کرد: طبق بررسیهای صورت گرفته مشخص شده این باجافزار به محض ورود به سیستم قربانی، تمام دایرکتوریها را اسکن کرده و اقدام به رمزنگاری آنها میکند.
رجبی خاطرنشان کرد: از آنجاییکه این باجافزار از منابع سیستم قربانی بهره میبرد بنابراین هرچه توان پردازشی سیستم هدف، بالاتر باشد سرعت خواندن، نوشتن و رمزگذاری سریعتر اتفاق خواهد افتاد و پس از اتمام فرایند رمزگذاری، پسوند megacortx به انتهای فایلها اضافه خواهد شد البته این باجافزار فایلهای exe همچنین فایلهای حجم پایین (1kb) را رمزگذاری نمیکند.
سرپرست مرکز تشخیص و پیشگیری از جرایم سایبری پلیس فتا ناجا متذکر شد: در ادامه پیام باجگیری برای قربانی به نمایش در خواهد آمد و از وی رقمی بین دو تا 600 "بیتکوین" درخواست خواهد شد!
این مقام انتظامی درباره روش انتشار این باجافزار نیز گفت: نرمافزاری به نام Cobolt Strike در سرور DC بارگذاری و اجرا میشود تا یک Reverse Shell ایجاد کند که این Shell به سیستم مهاجم بازگردانده میشود سپس مهاجم از طریق این shell و از راه دور به سرور DC دسترسی پیدا میکند که پس از طی این مراحل، فایل اصلی باج افزار اجرا میشود.
وی ادامه داد: در حال حاضر 40 مورد از 65 ضد بدافزار سامانه virustotal، قادر به شناسایی، توقف یا حذف این باجافزار هستند.
رجبی درباره روشهای مقابله با این باجافزار نیز یادآور شد: با توجه به روشهای نفوذ و انتشار این باجافزار، توصیه میشود که سیستم عاملهای خود، مخصوصاً نسخههای نصب بر روی سرورها را با وصلههای امنیتی ارائه شده، به روزرسانی کنید.
سرپرست مرکز تشخیص و پیشگیری از جرایم سایبری پلیس فتا ناجا به شهروندان توصیه کرد اقدامات مربوط به امنسازی سرویسهای مایکروسافتی از جمله Active Directory و پروتکل RDP را به طور کامل بر روی سیستمهای خود انجام داده و نرمافزارهای امنیتی نصب شده در سیستم عامل خود نظیر آنتیویروس را، به طور مداوم به روزرسانی کنند./تسنیم