Новая версия MegaCortex меняет пароли в Windows

Новая версия MegaCortex меняет пароли в Windows и угрожает опубликовать украденные данные

6.11.19
Новая версия вымогателя MegaCortex не только шифрует файлы, но и меняет пароли, а также угрожает обнародовать информацию жертвы, если та не заплатит выкуп.

Напомню, что данный вымогатель известен специалистам уже некоторое время. Он распространяется при помощи другой малвари, к примеру Emotet, и операторы шифровальщика стараются как можно быстрее добраться до контроллера домена, чтобы распространить угрозу на максимальное количество систем.

Издание Bleeping Computer сообщает, что новую версию MegaCortex заметили специалисты MalwareHunterTeam и Виталий Кремез (Vitali Kremez). Теперь шифровальщик изменяет расширения пострадавших файлов на .m3g4c0rtx, а также использует пару новых трюков.

Capture.webp

Так, теперь лончер MegaCortex извлекает два файла DLL и три скрипта CMD в папку C:\Windows\Temp. При этом лончер подписан сертификатом Sectigo, выданным австралийской компании MURSA PTY LTD. Файлы CMD используются для выполнения ряда команд, включая удаление теневых копий и затирания всего свободного пространства на диске C:\.

ransom-note-r.webp

Но теперь MegaCortex еще и запугивает своих жертв, принуждая их заплатить. Дело в том, что новая записка с требованием выкупа начинается с фразы «все ваши учтенные данные были изменены и все файлы зашифрованы». Как выяснили специалисты, это не пустая угроза: малварь действительно изменяет пароли жертв от Windows-аккаунтов.

legal-notice.webp

Кроме того, теперь злоумышленники утверждают, что не только зашифровали, но и скопировали все данные жертвы, и угрожают опубликовать их в открытом доступе, если не получат выкуп. Исследователи отмечают, что пока нет никаких подтверждений тому, что атакующие действительно копируют куда-либо информацию пострадавших.
 
Последнее редактирование:
Назад
Сверху Снизу