سرهنگ علی محمد رجبی تغییر پسوند فایل‌های رمزنگاری شده را یکی از نشانه‌های این باج افزار دانست و گفت: باج افزار MegaCortex از الگوریتم AES و RSA جهت رمز گذاری فایل‌های سیستم قربانی استفاده کرده و پسوند.megacortx را به انتهای فایل‌های رمزگذاری شده اضافه می‌کند.

وی ادامه داد: نسخه اول این باج افزار در اوایل سال جاری منتشر شد و شبکه‌های سازمانی را هدف قرار داده است و روند آلوده سازی شبکه‌های سازمانی نشان می‌دهد مهاجمان از تروجان‌ها برای دسترسی به سیستم‌های آلوده بهره می‌برند.

سرپرست مرکز تشخیص و پیشگیری از جرایم سایبری پلیس فتا ناجا افزود: نسخه دوم این باج افزار در اوایل شهریور ماه سال جاری منتشرشده است.

این مقام مسئول بیان کرد: طبق بررسی‌های صورت گرفته مشخص شده است این باج افزار به محض ورود به سیستم قربانی تمامی دایرکتوری‌ها را اسکن کرده و اقدام به رمز نگاری آنان می‌کند.

سرهنگ رجبی گفت: از آنجایی که این باج افزار از منابع سیستم قربانی بهره می‌برد، بنابراین هرچه توان پردازشی سیستم هدف، بالاتر باشد سرعت خواندن، نوشتن و رمزگذاری سریعتر اتفاق خواهد افتاد و پس از اتمام فرایند رمز گذاری پسوند megacortx به انتهای فایل‌ها اضافه خواهد شد، البته این باج افزار فایل‌های exe و همچنین فایل‌های حجم پایین (۱ kb) را رمزگذاری نمی‌کند.

وی افزود: در ادامه پیام باج گیری برای قربانی به نمایش در خواهد آمد و از وی رقمی بین ۲ الی ۶۰۰ بیت کوئین درخواست خواهد شد.

این مقام انتظامی در خصوص روش انتشار این باج افزار اظهار داشت: نرم افزاری به نام Cobolt Strike در سرور DC بارگذاری و اجرا می‌شود تا یک Reverse Shell ایجاد کند که این Shell به سیستم مهاجم بازگردانده می‌شود. سپس مهاجم از طریق این shell و از راه دور به سرور DC دسترسی پیدا می‌کند که پس از طی این مراحل، فایل اصلی باج افزار اجرا می‌شود.

سرپرست مرکز تشخیص و پیشگیری از جرایم سایبری پلیس فتا ناجا ادامه داد: در حال حاضر ۴۰ مورد از ۶۵ ضد بدافزار سامانه virustotal، قادر به شناسایی، توقف و یا حذف این باج افزار می‌باشند.

سرهنگ رجبی در خصوص روش‌های مقابله با این باج افزار گفت: با توجه به روش‌های نفوذ و انتشار این باج افزار، توصیه می‌شود که سیستم عامل‌های خود، مخصوصاً نسخه‌های نصب بر روی سرورها را با وصله‌های امنیتی ارائه شده، به روز رسانی کنید.

وی به شهروندان توصیه کرد: اقدامات مربوط به امن سازی سرویس‌های مایکروسافتی از جمله Active Directory و پروتکل RDP را به طور کامل بر روی سیستم‌های خود انجام دهید و نرم افزارهای امنیتی نصب شده درون سیستم عامل خود نظیر آنتی ویروس را، به طور مداوم به روز رسانی کنید.

۲۳۵۲۳۲