SOS :: Security Operation Space
14 ноября, четверг, 00:00
|
Hot News:

Вымогатель Megacortex стал блокировать вход в Windows

06 ноября 2019 г., среда, 14:55

Шифровальщик, проникающий в корпоративную сеть после взлома, меняет пароли пользователей Windows.

Новая версия MegaCortex не только шифрует данные, но также меняет пароль пользователя Windows. В случае неуплаты выкупа обновленный зловред также обещает опубликовать файлы жертвы, которые он якобы скопировал в «надежное место», однако реальность этой угрозы пока не подтверждена.

Шифровальщик MegaCortex появился в поле зрения ИБ-экспертов в начале этого года. Он преимущественно атакует корпоративных пользователей и загружается на все доступные компьютеры в результате взлома целевой сети.

Проведенный в Bleeping Computer анализ показал, что очередной вариант вымогательской программы сильно отличается от предыдущих версий. Наиболее очевидным изменением является новое расширение, добавляемое к имени зашифрованных файлов, — теперь зловред использует .m3g4c0rtx. Он также отображает на экране заставку, имитирующую стиль правового уведомления, — Locked by MegaCortex («заблокировано MegaCortex»), с указанием email-контактов.

Модуль запуска MegaCortex подписан сертификатом УЦ Sectigo (ранее Comodo), выданным на имя австралийской компании Mursa Pty Ltd. При исполнении этот компонент распаковывает и загружает в папку временных файлов две динамические библиотеки и три CMD-скрипта.

Библиотеки DLL используются для поиска и шифрования файлов; их запуск осуществляется через утилиту командной строки Rundll32.exe. Файлы .CMD содержат команды, с помощью которых зловред удаляет теневые копии Windows, чистит свободное пространство на диске C, выводит «официальную» заставку и вычищает свои файлы, которые он использовал в ходе шифрования.

Выполнив основную задачу, MegaCortex создает на рабочем столе файл !-!_README_!-!.rtf с развернутым сообщением о случившимся и требованием выкупа в биткойнах. В этом тексте упомянута смена идентификаторов пользователя, и проверка это подтвердила — эксперт Bleeping Computer не смог войти в зараженную систему после перезапуска. Как оказалось, шифровальщик меняет пароль к учетной записи Windows, используя команду net user.

В своем сообщении вымогатели также грозят выложить данные жертвы в открытый доступ, если не получат выкуп. Доказательств копирования информации исследователи не обнаружили, так что эта угроза, похоже, не имеет оснований.

На миниатюре представлен скриншот «правового уведомления» MegaCortex, позаимствованный из блог-записи Bleeping Computer.

Ваш голос учтён!
нравится
не нравится Рейтинг:
1
Всего голосов: 1
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
10:15
09:15
06:15
06:15
17:15
17:13
16:36
15:17
13:15
12:15
10:15
08:15
07:15
06:15
05:40
05:13
16:50
15:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.606
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.