Один из новых шифровальщиков, появившихся в 2019 году, под названием MegaCortex, привлек внимание специалистов одной нетипичной чертой.
Последняя версия зловредного вымогателя не только шифрует данные, но также меняет пароль пользователя Windows. Также, в случае неуплаты выкупа обновленный зловред грозится опубликовать файлы жертвы, которые он якобы скопировал в «надежное место» (реальность этой угрозы пока не подтверждена специалистами).
MegaCortex преимущественно атакует корпоративных пользователей и загружается на все доступные компьютеры в результате взлома целевой сети. Сообщается также, что модуль запуска MegaCortex подписан сертификатом УЦ Sectigo (ранее Comodo), выданным на имя австралийской компании Mursa Pty Ltd. При исполнении этот компонент распаковывает и загружает в папку временных файлов две динамические библиотеки и три CMD-скрипта.
В мае этого года стало известно, что после резонанса, вызванного публикацией экспертов из фирмы Chronicle о подозрительной статистике использования сертификатов Sectigo/Comodo разработчиками вредоносного ПО, представители компании отозвали актуальные на сегодняшний день 127 цифровых сертификатов, используемых злоумышленниками для подписи вредоносного кода. АКБ напоминает, что из исследования Chronicle следовал такой гигантский разрыв в использовании сертификатов Comodo и всех остальных, что в некоторых публикациях предположили, что речь идет о преступном сговоре.
Библиотеки DLL используются для поиска и шифрования файлов; их запуск осуществляется через утилиту командной строки Rundll32.exe. Файлы .CMD содержат команды, с помощью которых зловред удаляет теневые копии Windows, чистит свободное пространство на диске C, выводит «официальную» заставку и вычищает свои файлы, которые он использовал в ходе шифрования.
Выполнив основную задачу, MegaCortex создает на рабочем столе файл !-! README !-!.rtf с развернутым сообщением о случившимся и требованием выкупа в биткойнах.
Читайте также на АКБ:
Трамп, Путин и Ким Чен Ын – чемпионы приманок у шифровальщиков