Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Шифровальщик, проникающий в корпоративную сеть после взлома, меняет пароли пользователей Windows.
Новая версия MegaCortex не только шифрует данные, но также меняет пароль пользователя Windows. В случае неуплаты выкупа обновленный зловред также обещает опубликовать файлы жертвы, которые он якобы скопировал в «надежное место», однако реальность этой угрозы пока не подтверждена.
Шифровальщик MegaCortex появился в поле зрения ИБ-экспертов в начале этого года. Он преимущественно атакует корпоративных пользователей и загружается на все доступные компьютеры в результате взлома целевой сети.
Проведенный в Bleeping Computer анализ показал, что очередной вариант вымогательской программы сильно отличается от предыдущих версий. Наиболее очевидным изменением является новое расширение, добавляемое к имени зашифрованных файлов, — теперь зловред использует .m3g4c0rtx. Он также отображает на экране заставку, имитирующую стиль правового уведомления, — Locked by MegaCortex («заблокировано MegaCortex»), с указанием email-контактов.
Модуль запуска MegaCortex подписан сертификатом УЦ Sectigo (ранее Comodo), выданным на имя австралийской компании Mursa Pty Ltd. При исполнении этот компонент распаковывает и загружает в папку временных файлов две динамические библиотеки и три CMD-скрипта.
Библиотеки DLL используются для поиска и шифрования файлов; их запуск осуществляется через утилиту командной строки Rundll32.exe. Файлы .CMD содержат команды, с помощью которых зловред удаляет теневые копии Windows, чистит свободное пространство на диске C, выводит «официальную» заставку и вычищает свои файлы, которые он использовал в ходе шифрования.
Выполнив основную задачу, MegaCortex создает на рабочем столе файл !-!_README_!-!.rtf с развернутым сообщением о случившимся и требованием выкупа в биткойнах. В этом тексте упомянута смена идентификаторов пользователя, и проверка это подтвердила — эксперт Bleeping Computer не смог войти в зараженную систему после перезапуска. Как оказалось, шифровальщик меняет пароль к учетной записи Windows, используя команду net user.
В своем сообщении вымогатели также грозят выложить данные жертвы в открытый доступ, если не получат выкуп. Доказательств копирования информации исследователи не обнаружили, так что эта угроза, похоже, не имеет оснований.
На миниатюре представлен скриншот «правового уведомления» MegaCortex, позаимствованный из блог-записи Bleeping Computer.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |