信息來源：4hou

勒索病毒Megacortex新型變種相對(duì)以往所遇到的勒索病毒，在勒索手法上更為激進(jìn)：不但加密用戶文件，還會(huì)進(jìn)一步修改Windwos登錄密碼，并在加密完畢后進(jìn)行鎖屏，更進(jìn)一步還會(huì)威脅受害者，若不繳納贖金則將主機(jī)上的文件公開。

一、Megacortex家族

Megacortex勒索病毒是國(guó)外較活躍的勒索家族，最初于今年1月份在VirusTotal平臺(tái)上被安全研究員發(fā)現(xiàn)，并不斷對(duì)國(guó)外多個(gè)行業(yè)進(jìn)行加密勒索攻擊，包括有美國(guó)、加拿大、法國(guó)和荷蘭等。下圖是Megacortex勒索病毒演進(jìn)的時(shí)間軸： 

二、Megacortex變種行為分析

@該變種攜帶澳大利亞“MURSA PTY LTD”公司的數(shù)字簽名，運(yùn)行后會(huì)在C:\Windows\Temp路徑下釋放qibfmqkeM5-0.cmd、qibfmqkeM5-1.cmd、qibfmqkeM5-2.cmd、M5-990831122.dll和M5-685889264.dll文件。

· qibfmqkeM5-0.cmd，用于刪除釋放到C:\Windows\Temp路徑的文件。

· qibfmqkeM5-2.cmd，用于刪除磁盤卷影

· M5-990831122.dll，用于遍歷磁盤文件

· M5-685889264.dll，用于加密磁盤文件，加密后綴名為.m3g4c0rtx

@在加密完后進(jìn)行鎖屏，并且修改了用戶登錄密碼：

· cmdline:'net user win oo/yUfojOGfTN2Kh'

· cmdline:'C:\Windows\system32\net1 user Administrator oo/yUfojOGfTN2Kh'

@生成勒索信息文本!-!_README_!-!.rtf，并以“若不繳納贖金則公開文件”的形式來威脅受害者，如下圖所示：

三、安全建議

解決方案

針對(duì)已經(jīng)出現(xiàn)勒索現(xiàn)象的用戶，由于暫時(shí)沒有解密工具，建議盡快對(duì)感染主機(jī)進(jìn)行斷網(wǎng)隔離。深信服提醒廣大用戶盡快做好病毒檢測(cè)與防御措施，防范該病毒家族的勒索攻擊。

病毒防御

目前大部分勒索病毒加密后的文件都無法解密，注意日常防范措施：

1. 及時(shí)給電腦打補(bǔ)丁，修復(fù)漏洞。

2. 對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份。

3. 不要點(diǎn)擊來源不明的郵件附件，不從不明網(wǎng)站下載軟件。

4. 盡量關(guān)閉不必要的文件共享權(quán)限。

5. 更改賬戶密碼，設(shè)置強(qiáng)密碼，避免使用統(tǒng)一的密碼，因?yàn)榻y(tǒng)一的密碼會(huì)導(dǎo)致一臺(tái)被攻破，多臺(tái)遭殃。

6. 如果業(yè)務(wù)上無需使用RDP的，建議關(guān)閉RDP。

最后，建議企業(yè)對(duì)全網(wǎng)進(jìn)行一次安全檢查和殺毒掃描，加強(qiáng)防護(hù)工作。