MegaCortex, a Matrix-Inspired Ransomware Is on the Prowl

Sophos的研究人员发现了一种名为MegaCortex的新型复杂勒索软件威胁，旨在瞄准全球的企业网络。进入内部后，勒索软件通过Windows域控制器传播到所有可用的计算机。在多个国家 - 美国，加拿大，阿根廷，法国，意大利，荷兰，澳大利亚，香港和爱尔兰也发现了MegaCortex的攻击。

网络犯罪分子自己选择了这种新的勒索软件威胁的名称，这似乎是对MetaCortex的一种敬意，虽然拼写错误，该公司在第一部电影中看到了Matrix三部曲的主角。 MegaCortex所赎回的赎金音调似乎也与Matrix电影中的对话一样。

在MegaCortex感染系统中发现的其他恶意软件

在调查MegaCortex的攻击时，Sophos观察到一个有趣的事实 - 除了勒索软件另外两个恶意软件威胁， Emotet和Qbot （也称为Qakbot）也出现在受感染的网络上。目前尚不清楚它们是否是MegaCortex渗入网络的载体，或者它们是否被勒索软件作为次要有效载荷丢弃。

然而，已经确认的是，在许多情况下，使用受损域控制器来发起攻击。模糊的PowerShell脚本用于在受害者的网络中创建Meterpreter反向shell。现在，攻击者有能力推送他们的恶意软件，包括3个文件 - 一个名为“rstwg.exe”的PsExec副本，一个批处理文件，以及名为“winnit.exe”的主要恶意软件可执行文件到所有连接到网络的计算机。然后通过PsExec远程执行批处理文件，从而启动一系列命令，尝试终止44个进程并停止189个Windows服务。另外194个服务的Start类型将更改为Disabled，从而阻止它们再次启动。

批处理文件的最后一个操作是启动“winnit.exe”，即勒索软件的主要可执行文件。反过来，它会丢弃并执行一个随机命名的.DLL文件，该文件负责受害者数据的实际加密。在加密过程中，将在受感染的计算机上删除与.DLL文件具有相同随机名称的.tsv文件。每个加密文件的名称后跟一个base64编码的字符串，以及两个40个十六进制字符将添加到.tsv文件中。

MegaCortex Creators提供咨询服务

MegaCortex的赎金票据被删除在一个名为“ !!! _ READ_ME _ !!!。txt。 ”的文本文件中。正如我们所提到的，该注释是以相当戏剧性的方式编写的。说明书指出恢复加密文件的唯一方法是购买网络犯罪分子的解密软件。为此，勒索软件的受害者应将1个加密文件和MegaCortex创建的.tsv文件发送到两个提供的电子邮件地址之一。此外，该说明指出，包含在软件价格中的是“保证”，任何进行支付的公司将来都不会再次“不方便”。犯罪分子还将就如何改善您的网络安全进行咨询. 我们认为不应该提及这些提议不应该被认真对待。

赎金的全文是：

您的公司网络防御系统已被称重，测量并且已被发现缺乏。
这种破坏是严重忽视安全协议的结果。
您的所有计算机都已被加密文件的MegaCortex恶意软件损坏。

我们确保使用我们的软件快速安全地检索数据的唯一方法。
恢复您的数据需要一个只有我们拥有的私钥。
不要浪费你的时间和金钱购买第三方软件，没有私钥他们是无用的。

关键是不要重新启动或关闭计算机。
这可能会对您的数据造成不可逆转的损害，并且您可能无法重新打开计算机。

要确认我们的软件可以通过电子邮件向我们发送来自随机计算机的2个文件和C：\ fracxidg.tsv文件（'s）
你会解密它们。
C：\ fracxidg.tsv包含我们需要的加密会话密钥，以便能够解密您的文件。

软件价格将保证贵公司永远不会给我们带来不便。
您还将收到有关如何改善公司网络安全的咨询。
如果您想购买我们的软件以恢复您的数据，请联系我们：

shawhart1542925@mail.com
anderssperry6654818@mail.com

我们只能告诉你门。你是那个必须走过它的人。