MegaCortex, a Matrix-Inspired Ransomware Is on the Prowl

Sophos的研究人員發現了一種名為MegaCortex的新型複雜勒索軟件威脅，旨在瞄準全球的企業網絡。進入內部後，勒索軟件通過Windows域控制器傳播到所有可用的計算機。在多個國家 - 美國，加拿大，阿根廷，法國，意大利，荷蘭，澳大利亞，香港和愛爾蘭也發現了MegaCortex的攻擊。

網絡犯罪分子自己選擇了這種新的勒索軟件威脅的名稱，這似乎是對MetaCortex的一種敬意，雖然拼寫錯誤，該公司在第一部電影中看到了Matrix三部曲的主角。 MegaCortex所贖回的贖金音調似乎也與Matrix電影中的對話一樣。

在MegaCortex感染系統中發現的其他惡意軟件

在調查MegaCortex的攻擊時，Sophos觀察到一個有趣的事實 - 除了勒索軟件另外兩個惡意軟件威脅， Emotet和Qbot （也稱為Qakbot）也出現在受感染的網絡上。目前尚不清楚它們是否是MegaCortex滲入網絡的載體，或者它們是否被勒索軟件作為次要有效載荷丟棄。

然而，已經確認的是，在許多情況下，使用受損域控制器來發起攻擊。模糊的PowerShell腳本用於在受害者的網絡中創建Meterpreter反向shell。現在，攻擊者有能力推送他們的惡意軟件，包括3個文件 - 一個名為“rstwg.exe”的PsExec副本，一個批處理文件，以及名為“winnit.exe”的主要惡意軟件可執行文件到所有連接到網絡的計算機。然後通過PsExec遠程執行批處理文件，從而啟動一系列命令，嘗試終止44個進程並停止189個Windows服務。另外194個服務的Start類型將更改為Disabled，從而阻止它們再次啟動。

批處理文件的最後一個操作是啟動“winnit.exe”，即勒索軟件的主要可執行文件。反過來，它會丟棄並執行一個隨機命名的.DLL文件，該文件負責受害者數據的實際加密。在加密過程中，將在受感染的計算機上刪除與.DLL文件具有相同隨機名稱的.tsv文件。每個加密文件的名稱後跟一個base64編碼的字符串，以及兩個40個十六進製字符將添加到.tsv文件中。

MegaCortex Creators提供諮詢服務

MegaCortex的贖金票據被刪除在一個名為“ !!! _ READ_ME _ !!!。txt。 ”的文本文件中。正如我們所提到的，該註釋是以相當戲劇性的方式編寫的。說明書指出恢復加密文件的唯一方法是購買網絡犯罪分子的解密軟件。為此，勒索軟件的受害者應將1個加密文件和MegaCortex創建的.tsv文件發送到兩個提供的電子郵件地址之一。此外，該說明指出，包含在軟件價格中的是“保證”，任何進行支付的公司將來都不會再次“不方便”。犯罪分子還將就如何改善您的網絡安全進行諮詢. 我們認為不應該提及這些提議不應該被認真對待。

贖金的全文是：

您的公司網絡防禦系統已被稱重，測量並且已被發現缺乏。
這種破壞是嚴重忽視安全協議的結果。
您的所有計算機都已被加密文件的MegaCortex惡意軟件損壞。

我們確保使用我們的軟件快速安全地檢索數據的唯一方法。
恢復您的數據需要一個只有我們擁有的私鑰。
不要浪費你的時間和金錢購買第三方軟件，沒有私鑰他們是無用的。

關鍵是不要重新啟動或關閉計算機。
這可能會對您的數據造成不可逆轉的損害，並且您可能無法重新打開計算機。

要確認我們的軟件可以通過電子郵件向我們發送來自隨機計算機的2個文件和C：\ fracxidg.tsv文件（'s）
你會解密它們。
C：\ fracxidg.tsv包含我們需要的加密會話密鑰，以便能夠解密您的文件。

軟件價格將保證貴公司永遠不會給我們帶來不便。
您還將收到有關如何改善公司網絡安全的諮詢。
如果您想購買我們的軟件以恢復您的數據，請聯繫我們：

shawhart1542925@mail.com
anderssperry6654818@mail.com

我們只能告訴你門。你是那個必須走過它的人。