MegaCortex勒索病毒预警

发布者:lijunhua发布时间:2019-06-10浏览次数:2669

    近日,亚信安全网络监测实验室监测到新型勒索病毒MegaCortex正在美国、加拿大等多地区传播,该病毒攻击目标为大型企业,其通过域控服务器下发勒索病毒,加密后的文件扩展名为.aes128ctr。与以往勒索病毒不同的是,本次勒索赎金不要求受害者支付加密货币,而是要求受害者购买他们的软件。亚信安全将其命名为RANSOM.WIN32.CORTEX.SM。
病毒感染流程    
1、病毒首先获得域控制器的访问权限,然后将其配置为向网络上的其他计算机分发批处理文件和PsExec(恶
     意软件的主要可执行程序之一);
2、通过PsExec远程运行批处理文件,目的是终止Windows进程,并停止和禁用干扰勒索软件例程的服务;                                                                                            

3、执行核心恶意程序winnit.exe后,其会提取一个随机命名的DLL文件,然后使用rundll32.exe执行它,该
     DLL负责加密计算机中的文件。
4、勒索软件还会在硬盘中生成一个扩展名为.tsv的文件,该文件包含加密秘钥。
5、最后,勒索病毒生成赎金通知文件!!! _ READ_ME _ !!!.txt,与以往不同的是,本次勒索赎金不要求受害
     者支付加密货币,而是要求受害者购买他们的软件。
【MegaCortex勒索病毒提示信息】
解决方案
  • 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆;

  • 尽量关闭不必要的文件共享;

  • 采用高强度的密码,避免使用弱口令密码,并定期更换密码;

  • 不要点击来源不明的邮件以及附件;

  • 浏览网页时不下载运行可疑程序;

  • 及时更新系统,更新应用程序;打全系统及应用程序补丁程序;

  • 请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。

亚信安全解决方案
  • 亚信安全病毒码版本14.985.60,云病毒码版本14.985.71,全球码版本14.987.00已经可以检测,请用户及时升级病毒码版本。

总结
       MegaCortex勒索病毒正在美国、加拿大等多地区传播,不排除在全球传播可能性。亚信安全提醒广大用户,提高警惕,做好勒索病毒防护工作。
IOC
81bb640d960fd68869a569f40835447971e7b235