Шифровальщик MegaCortex «меняет замки» на вход в Windows

Опубликовано at 19:22
52 0

Один из новых шифровальщиков, появившихся в 2019 году, под названием MegaCortex, привлек внимание специалистов одной нетипичной чертой.

Последняя версия зловредного вымогателя не только шифрует данные, но также меняет пароль пользователя Windows. Также, в случае неуплаты выкупа обновленный зловред грозится опубликовать файлы жертвы, которые он якобы скопировал в «надежное место» (реальность этой угрозы пока не подтверждена специалистами).

MegaCortex преимущественно атакует корпоративных пользователей и загружается на все доступные компьютеры в результате взлома целевой сети. Сообщается также, что модуль запуска MegaCortex подписан сертификатом УЦ Sectigo (ранее Comodo), выданным на имя австралийской компании Mursa Pty Ltd. При исполнении этот компонент распаковывает и загружает в папку временных файлов две динамические библиотеки и три CMD-скрипта.

В мае этого года стало известно, что после резонанса, вызванного публикацией экспертов из фирмы Chronicle о подозрительной статистике использования сертификатов Sectigo/Comodo разработчиками вредоносного ПО, представители компании отозвали актуальные на сегодняшний день 127 цифровых сертификатов, используемых злоумышленниками для подписи вредоносного кода. АКБ напоминает, что из исследования Chronicle следовал такой гигантский разрыв в использовании сертификатов Comodo и всех остальных, что в некоторых публикациях предположили, что речь идет о преступном сговоре.

Библиотеки DLL используются для поиска и шифрования файлов; их запуск осуществляется через утилиту командной строки Rundll32.exe. Файлы .CMD содержат команды, с помощью которых зловред удаляет теневые копии Windows, чистит свободное пространство на диске C, выводит «официальную» заставку и вычищает свои файлы, которые он использовал в ходе шифрования.

Выполнив основную задачу, MegaCortex создает на рабочем столе файл !-!README!-!.rtf с развернутым сообщением о случившимся и требованием выкупа в биткойнах.

Читайте также на АКБ:

Трамп, Путин и Ким Чен Ын – чемпионы приманок у шифровальщиков

Подписываемся, следим @CyberAgency

Related Post

Дайджест новостей за выходные

Опубликовано - 30.10.2017 0
Использование одноразовых паролей превосходит многофакторную проверку подлинности Использование аутентификации остается на низком уровне, но начинает набирать обороты среди предприятий. По…

Россия готова вместе с США создать рабочую группу по кибербезопасности

Опубликовано - 05.12.2017 0
Москва готова организовать совместную российско-американскую рабочую группу по кибербезопасности, заявил посол России в США Анатолий Антонов. Это, по его словам,…