среда, 1 мая 2019 г.

MegaCortex

MegaCortex Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: MegaCortex, указано в записке. На файле написано: megacortex.exe

Обнаружения:
DrWeb -> Trojan.DownLoad4.12168, Trojan.Encoder.29008
BitDefender -> Gen:Variant.Trojan.Crypt.63, Trojan.Ransom.MegaCortex.B
Malwarebytes -> Trojan.MalPack.GS, Ransom.MegaCortex
Rising -> Ransom.MegaCortex!1.B5BB (CLASSIC)
ALYac -> Trojan.Ransom.MegaCortex

© Генеалогия: LockerGoga > MegaCortex
Cм. анализы IntezerAnalyze в разделе "Результаты анализов". 


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .aes128ctr

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало мая 2019 г. Но активность некоторых образцов могла быть еще в начале 2019 (в Чехии) или в конце 2018. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Другие пострадавшие из следующих стран: Италия, США, Канада, Нидерланды, Ирландия, Франция.

Записка с требованием выкупа называется: !!!_READ_ME_!!!.txt

Содержание записки о выкупе:
Your companies cyber defense systems have been weighed, measured and have been found wanting.
The breach is a result of grave neglect of security protocols.
All of your computers have been corrupted with MegaCortex malware that has encrypted your files.
We ensure that the only way to retrieve your data swiftly and securely is with our software.
Restoration of your data requires a private key which only we possess.
Don't waste your time and money purchasing third party software, without the private key they are useless.
It is critical that you don't restart or shutdown your computer.
This may lead to irreversible damage to your data and you may not be able to turn your computer back on.
To confirm that our software works email to us 2 files from random computers and C:\fracxidg.tsv file('s)
and you will get them decrypted.
C:\fracxidg.tsv contain encrypted session keys we need in order to be able to decrypt your files.
The softwares price will include a guarantee that your company will never be inconvenienced by us.
You will also receive a consultation on how to improve your companies cyber security .
If you want to purchase our software to restore your data contact us at:
shawhart1542925@mail.com
anderssperry6654818@mail.com
We can only show you the door. You're the one who has to walk through it.

Перевод записки на русский язык (грамотность отригинала):
Системы киберзащиты вашей компании были взвешены, измерены и признаны нужными.
Нарушение является результатом серьезного пренебрежения протоколами безопасности.
Все ваши компьютеры были повреждены вредоносной программой MegaCortex, которая зашифровала ваши файлы.
Мы гарантируем, что единственный способ быстрого и безопасного извлечения ваших данных - это наше программное обеспечение.
Для восстановления ваших данных требуется личный ключ, которым владеем только мы.
Не тратьте свое время и деньги на покупку стороннего программного обеспечения, без закрытого ключа они бесполезны.
Очень важно, чтобы вы не перезагружали и не выключали компьютер.
Это может привести к необратимому повреждению ваших данных, и вы не сможете снова включить компьютер.
Чтобы подтвердить, что наше программное обеспечение работает, отправьте нам 2 файла со случайных компьютеров и файл C: \ fracxidg.tsv (s)
и вы получите их расшифрованными.
C: \ fracxidg.tsv содержит зашифрованные сеансовые ключи, которые нам нужны для того, чтобы иметь возможность расшифровывать ваши файлы.
Цена на программное обеспечение будет включать гарантию того, что мы никогда не пострадаем от вашей компании.
Вы также получите консультацию о том, как улучшить кибербезопасность вашей компании.
Если вы хотите приобрести наше программное обеспечение для восстановления ваших данных, свяжитесь с нами по адресу:
shawhart1542925@mail.com
anderssperry6654818@mail.com
Мы можем только показать вам дверь. Ты тот, кто должен пройти через это.




Технические детали

Для распространения используется загрузчик Rietspoof. Целью атаки являются корпоративные сети. 
Вероятно, может также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использует исполняемый файл утилиты PsExec, переименованной в rstwg.exe
➤ После проникновения на компьютер сети stop.bat запускает PowerShell-скрипт, который разворачивает многофункциональную оболочку Meterpreter, при помощи которого злоумышленники получают доступ к контроллеру домена компании и доставляют пейлоад на подключенные к нему машины. В компьютеры сети внедряется исполняемый файл и пакетный сценарий, отвечающий за выгрузку из памяти многих процессов.
 Тот же файл stop.bat завершает работу 44 процессов, пытается остановить 189 различные службы, переключает типа запуска для 194 различных служб на "Отключено", чтобы предотвращает их повторный запуск.
 Пытается отключить автозагрузку некоторых антивирусных программ, что при правильной настройке антивирусной защиты, может не сработать. 

 Последняя строка командного файла stop.bat - это команда, которая запускает вредонос-шифратор winnit.exe. Команда использует строку base64 в качестве своего рода пароля для запуска файла. Без использования этой строки двоичный файл завершает работу. Но кроме этого, работа каждого доставленного файла winnit.exe зависит ещё и от времени. Вредонос-шифратор будет работать только при соблюдении обоих этих условий: (a) должен быть использован правильный пароль и (b) часы в целевой системе должны быть в пределах 3-часового периода, жестко закодированного в самом двоичном файле вредоноса-шифратора.

 В завершение операции захвата на каждое устройство доставляется файл winnit.exe, отвечающий за загрузку DLL со случайным именем из восьми символов, которая шифрует файлы и размещает в корневом каталоге записку с требованием выкупа. Послание стилизовано под обращение Морфеуса — одного из персонажей известного фильма "Матрица", который работал в корпорации со схожим названием — MetaCortex. В сообщении преступники предлагают обратиться к ним за консультациями по защите корпоративной сети, чтобы обезопасить компанию от будущих нападений.

 Примечательно, что MegaCortex переименовывает файлы прежде, чем шифровать. Такое поведение также наблюдалось в LockerGoga Ransomware, что также говорит в пользу их связи. Другие шифровальщики сначала шифруют файлы. Возможно, это нужно для того, чтобы предотвратить перерасход ресурсов (бинарник и DLL совместно используют одну и ту же память) и повторное шифрование одних и тех же файлов. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!_READ_ME_!!!.txt
megacortex.exe
stop.bat
fracxidg.tsv - содержит пути к файлам и base64, с хэшами SHA1
<random>.exe - случайное название вредоносного файла
rstwg.exe - переменованный файл утилиты PsExec
winnit.exe
1.bat - 6.bat

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: shawhart1542925@mail.com
anderssperry6654818@mail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>  HA>>
𝚺  VirusTotal analysis >>  VT>> VT>> VT>>  VT>>
🐞 Intezer analysis >>  IA>>  IA>>  IA>>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>  JOE>>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet + Tweet
 ID Ransomware (ID as MegaCortex)
 Write-up, Topic of Support
 * 
Added later:
 Write-up by Sophos (add. on May 3, 2019)
 Write-up by Sophos (add. on May 10, 2019)
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 Vitali Kremez
 Andrew Brandt (Sophos)
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton