据报道,一种名为MegaCortex的新勒索软件(Trend Micro将其检测为RANSOM.WIN32.CORTEX.SM)已针对,加拿大和欧洲部分地区的大型公司网络和工作站进行了部署。 网络安全公司Sophos上周五首次报道了MegaCortex活动的激增,指出在48小时内停止了47次攻击,这是与该勒索软件有关的所有已知事件的三分之二。 最近的激增并不是勒索软件的最早遭遇-第一个已知样本于1月在公共共享网站VirusTotal上载。 MegaCortex如何工作
至少有一位受害者报告说,该攻击起源于企业网络内部受感染的域控制器,但尚不清楚勒索软件分发者如何获得对网络的访问权限。
获得域控制器的访问权限后,攻击者将其配置为将批处理文件,重命名的PsExec和 winnit.exe (该恶意软件的主要可执行文件之一)分发给恶意软件。 网络上的其余计算机。 完成此步骤后,他们将远程运行批处理文件。 该文件将终止Windows进程,并停止和禁用会干扰勒索软件例程的服务。
图1. MegaCortex的感染链
然后,批处理文件将在特定时间范围内使用特定的Base64参数执行核心恶意软件文件 winnit.exe 。 如果执行得当,该恶意软件将搜索文件以进行加密并丢弃赎金记录。 它还将提取一个随机命名的DLL,并使用 rundll32.exe 执行它。 该DLL是用于加密计算机文件的组件。 它将首先检查文件是否可访问。 如果没有,它将仅记录文件。 如果可以访问,则将对该文件进行加密,在尝试了一定数量的文件加密之后,子DLL进程将终止,并且该循环将再次开始。
在加密受害者的文件时,勒索软件会附加扩展名 .aes128ctr 。 据Sophos称,勒索软件还将生成扩展名为 .tsv 的文件,并将其放入硬盘驱动器中。 MegaCortex参与者的赎金记录指示用户向该文件提交,因为该文件包含解密所需的加密会话密钥。 赎金票据本身是一个 .txt 文件,该文件不要求通常的加密货币付款,而是要求受害者购买演员的软件。
除了主要的有效载荷外,该恶意软件还删除了安全研究人员确定为Rietspoof恶意软件的辅助组件,该系统用于将多个有效载荷拖放到设备上。 防御勒索软件
建议用户和企业采用最佳实践来防御勒索软件:定期备份文件,保持系统和应用程序的更新,实施最小特权原则并深入实施防御-在公司网络的每个层上排列安全性 来自网关,网络,端点和服务器的在线边界。 趋势科技勒索软件解决方案
企业可以从多层方法中受益,以最大程度地减轻勒索软件带来的风险。 在端点级别,Trend Micro Smart Protection Suite提供了多种功能,例如高保真机器学习,行为监控和应用程序控制以及漏洞屏蔽功能,可将这种威胁的影响降到最低。 趋势科技威胁发现设备可检测和阻止网络上的勒索软件,而趋势科技趋势科技服务器深度安全防护系统则可阻止勒索软件到达企业服务器-物理,虚拟或云中。 趋势科技趋势科技服务器深度安全防护系统,漏洞防护和TippingPoint提供虚拟补丁程序,可保护端点免受利用未修补漏洞提供勒索软件的威胁的侵害。
电子邮件和Web网关解决方案,例如趋势科技™深度发现™电子邮件检查器和InterScan™Web安全性,防止了最终用户使用勒索软件。 趋势科技的Cloud App Security(CAS)通过使用针对勒索软件和其他高级威胁的尖端沙箱恶意软件分析,可以帮助增强Office 365应用程序和其他云服务的安全性。
这些解决方案由趋势科技XGen™安全性提供支持,该安全性提供了针对数据中心,云环境,网络和端点的全方位威胁防御技术的跨代混合。 智能,优化和连接的XGen™为趋势科技的安全解决方案套件提供了支持:混合云安全性,用户保护和网络防御。 已于2019年5月15日9:30 AM更新:添加了有关MegaCortex感染链的图像和信息
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢