新型勒索软件MegaCortex的分析

xiaohui 勒索软件 2019年7月24日发布
Favorite收藏

导语:英国网络安全公司Sophos在今年5月发现了一种名为MegaCortex的新勒索软件,根据当时的监测情况,MegaCortex已在美国、加拿大等多地区传播,该病毒攻击目标为大型企业,其通过域控服务器下发勒索病毒。

cyber-lock.jpg

英国网络安全公司Sophos在今年5月发现了一种名为MegaCortex的新勒索软件,根据当时的监测情况,MegaCortex已在美国、加拿大等多地区传播,该病毒攻击目标为大型企业,其通过域控服务器下发勒索病毒。在加密计算机时,勒索软件会给加密文件附加一个扩展名,有时候是.aes128ctr。也就是说名为marketing.doc的文件将被加密并重命名为marketing.doc.aes128ctr。目前尚不清楚这些扩展是否是静态的。与以往勒索病毒不同的是,本次勒索赎金不要求受害者支付加密货币,而是要求受害者购买他们的软件。

在本文中,我们将对MegaCortex 勒索软件进行一些详细介绍并对攻击者加密受害者的计算机过程进行剖析。由于MegaCortex是最新出现的勒索软件,所以目前对其加密算法知之甚少,攻击者究竟如何获得对网络的访问权限,以及受害者支付赎金后攻击者是否解密文件,目前,这一切都存在疑问。

通常来说,当一个新型勒索软件首次被发布时,攻击者会将恶意软件进行大范围传播,以便尽可能多地捕获受害者。在对企业的攻击类型中,过去一年里,勒索软件所造成的杀伤力和杀伤规模呈指数级增长。目前,攻击者对勒索软件的研发投入还在不断增加。由于这些支出,新的勒索软件类型的出现也就不足为奇了。

目前,比较常见的勒索软件有Ryuk,BitPaymer和Sodinokibi(REvil),但MegaCortex Ransomware还鲜为人知。由于Sophos发现已经感染了MegaCortex的网络上存在 Emotet以及Qakbot特洛伊木马,因此这表明攻击者以与Ryuk类似的方式向特洛伊木马运营商支付访问受感染系统的费用。目前,研究人员还无法肯定MegaCortex是否得到了Emotet恶意软件的帮助,但它们之间肯定存在相关性。

通过有针对性的攻击来进行恶意安装

虽然不是100%清楚攻击者如何访问网络进而获取访问权限,但受害者向Sophos报告说,这些攻击源自受感染的域控制器。

在域控制器上,Cobolt Strike被执行以创建一个反向shell发送回攻击者的主机。利用此shell,攻击者可以远程访问域控制器并将其配置为将PsExec(主要恶意软件可执行文件)和批处理文件的副本传播给网络上的所有计算机,然后通过PsExec远程执行批处理文件。

1.png

批处理文件的一部分

启动winnit.exe可执行文件时,需要提供特定的base64编码字符串,以便勒索软件提取并将DLL注入内存,此DLL是加密计算机的主要勒索软件组件。

MegaCortex的加密过程

经过安全研究员Vitali Kremez的分析,我们才能够深入了解勒索软件的运作方式。

被发现的特定样本是用来自一家名为“ABADAN PIZZA LTD”的英国公司的证书签名的代码,目前该公司可能已经不存在。

2.jpg

用于签署勒索软件的证书

除了MegaCortex勒索软件载荷之外,Sophos还在计算机上发现了 “二级载荷”。

安全研究员Vitali Kremez检查了其中一些二级载荷,并解释说这些文件是Rietspoof。Rietspoof是一个多阶段交付系统,用于在计算机上下载多个恶意软件载荷。

在此示例中,攻击者不再需要为DLL有效载荷提供特殊的base64编码字符串以将其解压缩并注入内存。攻击者只需简单地运行可执行文件,勒索软件就将开始加密计算机。

Kremez认为这个更改是为了增加攻击的感染规模并简化其执行过程:

“我认为他们正试图扩大他们的攻击行动,并捕获更多的受害者,因此他们必须简化攻击方法,避免多层脚本执行。” 

执行时,MegaCortex将显示正在运行的文件输出及其当前操作阶段。从下面勒索软件的输出可以看到,MegaCortex被设计成由一个攻击者实时监控,然后在执行完成后进行清理。

3.jpg

MegaCortex加密文件

当可执行文件启动时,它将终止或禁用1396种不同的Windows服务和进程。这些进程包括安全软件、数据库服务器、邮件服务器和备份软件,你可以在Kremez的GitHub存储库中找到已禁用服务和已终止进程的完整列表。

此终止过程以前是在批处理文件中完成的,但是现在已经集成到勒索软件中。

然后,勒索软件将开始加密受害者硬盘上的文件。加密文件时,它不会加密以下任何类型的文件、文件名或列出文件夹下的文件。

.dll
.exe
.sys
.mui
.tmp
.lnk
.config
.manifest
.tlb
.olb
.blf
.ico
.regtrans-ms
.devicemetadata-ms
.settingcontent-ms
.bat
.cmd
.ps1
desktop.ini
iconcache.db
ntuser.dat
ntuser.ini
ntuser.dat.log1
ntuser.dat.log2
usrclass.dat
usrclass.dat.log1
usrclass.dat.log2
bootmgr
bootnxt
temp\
.+\\Microsoft\\(User Account Pictures|Windows\\(Explorer|Caches)|Device Stage\\Device|Windows)\\

当勒索软件对文件进行加密时,它将在加密文件的名称后面附加.megac0rtx扩展名。例如,test.jpg将被加密并重命名为test.jpg.megac0rtx。

9.jpg

每个加密的文件还将包含MEGA-G8 =文件标记,如下所示。

10.jpg

加密文件中的文件标记

为了加密,勒索软件还将在C:\x5gj5_gmG8.lo中创建一个日志文件,该文件将包含勒索软件无法加密的文件列表。

完成加密文件后,勒索软件将创建一个名为!!_READ-ME_!! .txt的赎金票据,并将其保存在受害者的桌面上。此赎金票据包含了支付赎金的说明和联系攻击者的电子邮件。目前可知,赎金金额的范围从2-3比特币到600比特币不等。

11.jpg

MegaCortex赎金票据

在执行过程中,勒索软件还将使用vssadmin delete shadows /all /for=C:\命令删除卷影副本。

此外,Kremez发现,MegaCortex有对Windows Cipher /W: command的引用,该命令用于覆盖已删除的数据,这意味着无法使用文件恢复软件恢复数据。

现在Kremez已经找到了一个这样的样本,研究人员将分析勒索软件的加密算法的弱点。如果有任何新的发展,我们将及时报道。

最后,勒索病毒生成赎金通知文件!!! _ READ_ME _ !!!.txt,与以往不同的是,本次勒索赎金不要求受害者支付加密货币,而是要求受害者购买他们的软件。不过,MegaCortex开发者却明确表示受害者支付赎金后,他们永远不会再攻击他们。另外,他们还会为受害者提供免费的网络安全咨询。

保护自己免受MegaCortex勒索软件的侵害

1. 只有在受害者无法恢复数据的情况下,勒索软件才会造成破坏,所以最重要的是备份重要文件。这些备份应该脱机存储,并且不能被勒索软件访问。

2. 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆;

3. 尽量关闭不必要的文件共享;

4. 采用高强度的密码,避免使用弱口令密码,并定期更换密码;

5. 不要点击来源不明的邮件以及附件;

6. 浏览网页时不下载运行可疑程序;

7. 及时更新系统,更新应用程序。

IOC

哈希表:

77ee63e36a52b5810d3a31e619ec2b8f5794450b563e95e4b446d5d3db4453b2

相关文件:

winnit.exe
x5gj5_gmG8.log
payload.dll
!!!_READ-ME_!!!.txt

赎金注释文字:

If you are reading this text, it means, we've hacked your corporate network.
Now all your data is encrypted with very serious and powerful algorithms (AES256 and RSA-4,096).
These algorithms now in use in military intelligence, NSA and CIA .
No one can help you to restore your data without our special decipherer.
Don't even waste your time.

But there are good news for you.
We don't want to do any damage to your business.
We are working for profit.

The core of this criminal business is to give back your valuable data in original form (for ransom of course).

In order to prove that we can restore all your data, we'll decrypt 3 of your files for free.
Please, attach 2-3 encrypted files to your first letter.
Each file must be less than 5 Mb, non-archived and your files should not contain valuable information
(databases, backups, large word files or excel sheets, etc.).
You will receive decrypted samples and our conditions how to get the decipherer.

For the fastest solution of the problem, please, write immediately in your first letter:
the name of your company,
the domain name of your corporate network and
the URL of your corporate website
It is important !

And please do not start your first letter to us with the words:
"It's a mistake !! Our company is just trimming and grooming little dogs. We don't have money at all."
"There is a big mistake on our site !
We are not leaders in our industry and all our competitors don't suck our huge **ck.
We're just ? small company, and we are dying because of hard competition."
"We are not the Super Mega International Corporation ltd., we are just a nursery etc."

We see it 5 times a day. This sh*t doesn't work at all !!!
Don't waste our and your time.

Remember ! We don't work for food.
You have to pay for decryption in Bitcoins (BTC).
If you think you pay $500 and you'll get the decryptor, you are 50 million light years away from reality 🙂
The ransom begins from 2-3 BTC up to 600 BTC.
If you don't have money don't even write to us.
We don't do charity !

One more time :

1.(In first letter) write the name of your company, the domain name of your corporate network and the URL of your corporate website
2. Attach 2-3 encrypted files (we'll show you some magic)
3. Use Google in order to find out how to buy bitcoins fast

As soon as we get bitcoins you'll get all your decrypted data back.

Contact emails:
[email protected]
or
[email protected]

Man is the master of everything and decides everything.

关联的电子邮件地址:

[email protected]
[email protected]
本文翻译自:https://www.bleepingcomputer.com/news/security/elusive-megacortex-ransomware-found-here-is-what-we-know/如若转载,请注明原文地址: https://www.4hou.com/typ/19369.html
点赞 5
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论