باج‌افراز MegaCortex با تغییر کلمه عبور ویندوز از کاربران باج‌گیری می‌کند

دسته بندی ها : اخبار ۹ آذر ۱۳۹۸ آپا دانشگاه تبریز 295 بازدید

پیام این باج‌افزار به کاربران این است که “پس از نهایی شدن تراکنش، کلیه نسخه‌های داده‌ای که بارگیری کرده‌ایم پاک خواهند شد.”

نسخه‌ای جدید از باج افزار MegaCortex رمز عبورهای کاربران Windows را تغییر می‌دهد و سپس تهدید می‌کند که در صورت عدم پرداخت باج، فایل‌های آن‌ها را در اختیار عموم قرار خواهد داد.

MegaCortex در ابتدا یک باج افزار سازمانی متمرکز (enterprise-focused) بود که از تروجان Emotet برای نصب خود بر روی رایانه‌های شبکه‌ای استفاده می کرد.

در این اواخر، حملات خود را علیه طیف گسترده‌ای از رایانه‌های شخصی که دارای آسیب پذیری‌های امنیتی مختلفی هستند، آغاز کرد. این باج افزار اکنون جمله‌ی “Locked by MegaCortex” در صفحه قفل ویندوز، به همراه دو آدرس تماس با ایمیل و دکمه “OK” را به کاربران نشان می‌دهد که مانند اخطاری عادی به نظر می‌رسد.

پس از اجرای لانچر MegaCortex، یک یادداشت باج با عنوان “!-!_README_!-!.rtf” در دسک‌تاپ قربانی ظاهر می‌شود. این یادداشت تهدید می‌کند که در صورت عدم پرداخت باج، رمزهای عبور ویندوز را تغییر خواهد داد. این به نظر واقعی می‌رسد چرا که راه اندازی مجدد سیستم‌های رمزگذاری شده، حساب‌های کاربران را قفل می کند.

این باج فقط تهدید به تغییر رمزعبور ویندوز کاربران نمی‌کند بلکه مدعی می‌شود که فایل‌های قربانیان در مکانی دیگر کپی شده است و علنی خواهد شد، مگر این که هزینه مورد نظر را پرداخت کند:

طبق گفته‌ی BleepingCompute پیام این بود که «ما همچنین داده‌های شما را در یک مکان امن بارگیری کرده‌ایم. در صورت عدم توافق، در نهایت تاسف چاره‌ای جز انتشار این داده‌ها نخواهیم داشت. پس از نهایی شدن معامله، کلیه نسخه‌های داده‌ای که بارگیری کرده‌ایم، پاک خواهند شد.»

گاهی اوقات سازندگان باج افزار هشدارهایی ترسناک به کاربران نشان می‌دهند تا آن‌ها را وادار به پرداخت باج کنند. با این حال، حداقل یکی از تهدیدهای سازندگان MegaCortex در باج گرفتن واقعی بود.

این باج‌افزار اخیرا در بین سازمان‌ها رو به رشد است، به خصوص جایی که قفل کردن کل یک شبکه می‌تواند سود قابل توجهی برای هکرها داشته باشد. تا زمانی که این موضوع صحت داشته باشد، تهدید باج افزار احتمالاً از بین نخواهد رفت.

باج‌افزار MegaCortex چگونه کار می‌کند

پس از اجرای MegaCortex در یک دستگاه هدف، لانچر MegaCortex دو فایل .DLL و سه اسکریپت CMD را در مسیر دایرکتوری C:\Windows\Temp اکسترکت می‌کند. به نظر می‌رسد این لانچر توسط گواهی متعلق به یک شرکت استرالیایی به نام “MURSA PTY LTD” امضا شده است.

فایل‌های DLL که از طریق Windows Rundll32.exe اجرا می‌شوند، فایل‌های قربانیان را رمزگذاری می‌کنند. در ضمن، اسکریپت‌های CMD دستورات دیگری را نیز اجرا می‌کنند؛ مانند از بین بردن فضای خالی روی رایانه شخصی و حذف فایل‌های مورد استفاده برای رمزنگاری کامپیوتر.

پس از اجرای اولیه فایل‌ها، یادداشت باج‌افزار ”  !-!_README_!-!.rtf” در دسک تاپ کاربر ظاهر می‌شود.

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    لینک کوتاه :