اقتصاد24- سرهنگ علی محمد رجبی تغییر پسوند فایلهای رمزنگاری شده را یکی از نشانههای این باج افزار دانست و گفت: باج افزار MegaCortex از الگوریتم AES و RSA جهت رمز گذاری فایلهای سیستم قربانی استفاده کرده و پسوند.megacortx را به انتهای فایلهای رمزگذاری شده اضافه میکند.
وی ادامه داد: نسخه اول این باج افزار در اوایل سال جاری منتشر شد و شبکههای سازمانی را هدف قرار داده است و روند آلوده سازی شبکههای سازمانی نشان میدهد مهاجمان از تروجانها برای دسترسی به سیستمهای آلوده بهره میبرند.
سرپرست مرکز تشخیص و پیشگیری از جرایم سایبری پلیس فتا ناجا افزود: نسخه دوم این باج افزار در اوایل شهریور ماه سال جاری منتشرشده است.
این مقام مسئول بیان کرد: طبق بررسیهای صورت گرفته مشخص شده است این باج افزار به محض ورود به سیستم قربانی تمامی دایرکتوریها را اسکن کرده و اقدام به رمز نگاری آنان میکند.
سرهنگ رجبی گفت: از آنجایی که این باج افزار از منابع سیستم قربانی بهره میبرد، بنابراین هرچه توان پردازشی سیستم هدف، بالاتر باشد سرعت خواندن، نوشتن و رمزگذاری سریعتر اتفاق خواهد افتاد و پس از اتمام فرایند رمز گذاری پسوند megacortx به انتهای فایلها اضافه خواهد شد، البته این باج افزار فایلهای exe و همچنین فایلهای حجم پایین (۱ kb) را رمزگذاری نمیکند.
وی افزود: در ادامه پیام باج گیری برای قربانی به نمایش در خواهد آمد و از وی رقمی بین ۲ الی ۶۰۰ بیت کوئین درخواست خواهد شد.
این مقام انتظامی در خصوص روش انتشار این باج افزار اظهار داشت: نرم افزاری به نام Cobolt Strike در سرور DC بارگذاری و اجرا میشود تا یک Reverse Shell ایجاد کند که این Shell به سیستم مهاجم بازگردانده میشود. سپس مهاجم از طریق این shell و از راه دور به سرور DC دسترسی پیدا میکند که پس از طی این مراحل، فایل اصلی باج افزار اجرا میشود.
سرپرست مرکز تشخیص و پیشگیری از جرایم سایبری پلیس فتا ناجا ادامه داد: در حال حاضر ۴۰ مورد از ۶۵ ضد بدافزار سامانه virustotal، قادر به شناسایی، توقف و یا حذف این باج افزار میباشند.
سرهنگ رجبی در خصوص روشهای مقابله با این باج افزار گفت: با توجه به روشهای نفوذ و انتشار این باج افزار، توصیه میشود که سیستم عاملهای خود، مخصوصاً نسخههای نصب بر روی سرورها را با وصلههای امنیتی ارائه شده، به روز رسانی کنید.
وی به شهروندان توصیه کرد: اقدامات مربوط به امن سازی سرویسهای مایکروسافتی از جمله Active Directory و پروتکل RDP را به طور کامل بر روی سیستمهای خود انجام دهید و نرم افزارهای امنیتی نصب شده درون سیستم عامل خود نظیر آنتی ویروس را، به طور مداوم به روز رسانی کنید.
منبع: میزان