среда, 1 мая 2019 г.

MegaCortex

MegaCortex Ransomware

MegaCortex 2.0 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES, а затем требует выкуп в 2-600 BTC, чтобы вернуть файлы. Оригинальное название: MegaCortex, указано в записке. На файле написано: megacortex.exe

Обнаружения:
DrWeb -> Trojan.DownLoad4.12168, Trojan.Encoder.29008
BitDefender -> Gen:Variant.Trojan.Crypt.63, Trojan.Ransom.MegaCortex.B
Malwarebytes -> Trojan.MalPack.GS, Ransom.MegaCortex
Rising -> Ransom.MegaCortex!1.B5BB (CLASSIC)
ALYac -> Trojan.Ransom.MegaCortex

© Генеалогия: LockerGoga > MegaCortex
Cм. анализы IntezerAnalyze в разделе "Результаты анализов". 


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .aes128ctr

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало мая 2019 г и продолжалась всё лето и позже. Но активность некоторых образцов могла быть еще в начале 2019 (в Чехии) или в конце 2018. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Другие пострадавшие компании из следующих стран: Италия, США, Канада, Нидерланды, Ирландия, Франция. Основное направление: корпоративные сети. 

Записка с требованием выкупа называется: !!!_READ_ME_!!!.txt

Содержание записки о выкупе:
Your companies cyber defense systems have been weighed, measured and have been found wanting.
The breach is a result of grave neglect of security protocols.
All of your computers have been corrupted with MegaCortex malware that has encrypted your files.
We ensure that the only way to retrieve your data swiftly and securely is with our software.
Restoration of your data requires a private key which only we possess.
Don't waste your time and money purchasing third party software, without the private key they are useless.
It is critical that you don't restart or shutdown your computer.
This may lead to irreversible damage to your data and you may not be able to turn your computer back on.
To confirm that our software works email to us 2 files from random computers and C:\fracxidg.tsv file('s)
and you will get them decrypted.
C:\fracxidg.tsv contain encrypted session keys we need in order to be able to decrypt your files.
The softwares price will include a guarantee that your company will never be inconvenienced by us.
You will also receive a consultation on how to improve your companies cyber security .
If you want to purchase our software to restore your data contact us at:
shawhart1542925@mail.com
anderssperry6654818@mail.com
We can only show you the door. You're the one who has to walk through it.

Перевод записки на русский язык (грамотность отригинала):
Системы киберзащиты вашей компании были взвешены, измерены и признаны нужными.
Нарушение является результатом серьезного пренебрежения протоколами безопасности.
Все ваши компьютеры были повреждены вредоносной программой MegaCortex, которая зашифровала ваши файлы.
Мы гарантируем, что единственный способ быстрого и безопасного извлечения ваших данных - это наше программное обеспечение.
Для восстановления ваших данных требуется личный ключ, которым владеем только мы.
Не тратьте свое время и деньги на покупку стороннего программного обеспечения, без закрытого ключа они бесполезны.
Очень важно, чтобы вы не перезагружали и не выключали компьютер.
Это может привести к необратимому повреждению ваших данных, и вы не сможете снова включить компьютер.
Чтобы подтвердить, что наше программное обеспечение работает, отправьте нам 2 файла со случайных компьютеров и файл C: \ fracxidg.tsv (s)
и вы получите их расшифрованными.
C: \ fracxidg.tsv содержит зашифрованные сеансовые ключи, которые нам нужны для того, чтобы иметь возможность расшифровывать ваши файлы.
Цена на программное обеспечение будет включать гарантию того, что мы никогда не пострадаем от вашей компании.
Вы также получите консультацию о том, как улучшить кибербезопасность вашей компании.
Если вы хотите приобрести наше программное обеспечение для восстановления ваших данных, свяжитесь с нами по адресу:
shawhart1542925@mail.com
anderssperry6654818@mail.com
Мы можем только показать вам дверь. Ты тот, кто должен пройти через это.




Технические детали

Для распространения используется загрузчик Rietspoof. Целью атаки являются корпоративные сети. 
Вероятно, может также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ Использует самозащиту (анти-анализ), что затрудняет исследование образцов с помощью обычных инструментов анализа. 
➤ Использует исполняемый файл утилиты PsExec, переименованной в rstwg.exe
➤ После проникновения на компьютер сети stop.bat запускает PowerShell-скрипт, который разворачивает многофункциональную оболочку Meterpreter, при помощи которого злоумышленники получают доступ к контроллеру домена компании и доставляют пейлоад на подключенные к нему машины. В компьютеры сети внедряется исполняемый файл и пакетный сценарий, отвечающий за выгрузку из памяти многих процессов.
 Тот же файл stop.bat завершает работу 44 процессов, пытается остановить 189 различные службы, переключает типа запуска для 194 различных служб на "Отключено", чтобы предотвращает их повторный запуск.
 Пытается отключить автозагрузку некоторых антивирусных программ, что при правильной настройке антивирусной защиты, может не сработать. 

 Последняя строка командного файла stop.bat - это команда, которая запускает вредонос-шифратор winnit.exe. Команда использует строку base64 в качестве своего рода пароля для запуска файла. Без использования этой строки двоичный файл завершает работу. Но кроме этого, работа каждого доставленного файла winnit.exe зависит ещё и от времени. Вредонос-шифратор будет работать только при соблюдении обоих этих условий: (a) должен быть использован правильный пароль и (b) часы в целевой системе должны быть в пределах 3-часового периода, жестко закодированного в самом двоичном файле вредоноса-шифратора.

 В завершение операции захвата на каждое устройство доставляется файл winnit.exe, отвечающий за загрузку DLL со случайным именем из восьми символов, которая шифрует файлы и размещает в корневом каталоге записку с требованием выкупа. Послание стилизовано под обращение Морфеуса — одного из персонажей известного фильма "Матрица", который работал в корпорации со схожим названием — MetaCortex. В сообщении преступники предлагают обратиться к ним за консультациями по защите корпоративной сети, чтобы обезопасить компанию от будущих нападений.

 Примечательно, что MegaCortex переименовывает файлы прежде, чем шифровать. Такое поведение также наблюдалось в LockerGoga Ransomware, что также говорит в пользу их связи. Другие шифровальщики сначала шифруют файлы. Возможно, это нужно для того, чтобы предотвратить перерасход ресурсов (бинарник и DLL совместно используют одну и ту же память) и повторное шифрование одних и тех же файлов. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!_READ_ME_!!!.txt
megacortex.exe
stop.bat
fracxidg.tsv - содержит пути к файлам и base64, с хэшами SHA1
<random>.exe - случайное название вредоносного файла
rstwg.exe - переменованный файл утилиты PsExec
winnit.exe
1.bat - 6.bat

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: shawhart1542925@mail.com
anderssperry6654818@mail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>  HA>>
𝚺  VirusTotal analysis >>  VT>> VT>> VT>>  VT>>
🐞 Intezer analysis >>  IA>>  IA>>  IA>>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>  JOE>>


Степень распространённости: высокая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


MegaCortex v.1 - май 2019
MegaCortex v.2 - июль 2019


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 23-29 июля 2019:
Подробное описание (статья) + PDF (технический анализ)
Новая версия: MegaCortex 2.0
Расширение: .megac0rtx
Использует сертификат, выданный на ABADAN PIZZA LTD.

Записка: !!!_READ-ME_!!!.txt
Email: ShianeUrabe1991@mail.com, MelodeySprague89@mail.com
Файлы: mega.exe, nxahoft_G9.log, x5gj5_gmG8.log
Результаты анализов: VT + AR 
➤ Содержание записки о выкупе: 
If you are reading this text, it means, we've hacked your corporate network.
Now all your data is encrypted with very serious and powerful algorithms (AES256 and RSA-4,096).
These algorithms now in use in military intelligence, NSA and CIA .
No one can help you to restore your data without our special decipherer.
Don't even waste your time.
But there are good news for you.
We don't want to do any damage to your business.
We are working for profit.
The core of this criminal business is to give back your valuable data in the original form (for ransom of course).
In order to prove that we can restore all your data, we'll decrypt 3 of your files for free.
Please, attach 2-3 encrypted files to your first letter.
Each file must be less than 5 Mb, non-archived and your files should not contain valuable information (databases, backups, large word files or excel sheets, etc.).
You will receive decrypted samples and our conditions how to get the decipherer.
For the fastest solution of the problem, please, write immediately in your first letter:
the name of your company,
the domain name of your corporate network and
the URL of your corporate website
It is important !
And please do not start your first letter to us with the words:
"It's a mistake !! Our company is just trimming and grooming little dogs. We don't have money at all."
"There is a big mistake on our site !
We are not leaders in our industry and all our competitors don't suck our huge dick.
We're just а small company, and we are dying because of hard competition."
"We are not the Super Mega International Corporation ltd., we are just a nursery etc."
We see it 5 times a day. This shit doesn't work at all !!!
Don't waste our and your time.
Remember ! We don't work for food.
You have to pay for decryption in Bitcoins (BTC).
If you think you pay $500 and you'll get the decryptor, you are 50 million light years away from reality :
)
The ransom begins from 2-3 BTC up to 600 BTC.
If you don't have money don't even write to us.
We don't do charity !
One more time :
1.(In first letter) write the name of your company, the domain name of your corporate network and the URL of your corporate website
2. Attach 2-3 encrypted files (we'll show you some magic)
3. Use Google in order to find out how to buy bitcoins fast
As soon as we get bitcoins you'll get all your decrypted data back.
Contact emails:
ShianeUrabe1991@mail.com
or
MelodeySprague89@mail.com
Man is the master of everything and decides everything.

Обновление от 28 июля 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Маркеры файлов: MEGA-F3=
MEGA-G9=
MEGA-G8=
Результаты анализов: VT 






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet + Tweet
 ID Ransomware (ID as MegaCortex)
 Write-up, Topic of Support
 * 
Added later:
 Write-up by Sophos (add. on May 3, 2019)
 Write-up by Sophos (add. on May 10, 2019)
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 Vitali Kremez
 Andrew Brandt (Sophos)
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton