Новая версия MegaCortex не только шифрует данные, но также меняет пароль пользователя Windows. В случае неуплаты выкупа обновленный зловред также обещает опубликовать файлы жертвы, которые он якобы скопировал в «надежное место», однако реальность этой угрозы пока не подтверждена.

Шифровальщик MegaCortex появился в поле зрения ИБ-экспертов в начале этого года. Он преимущественно атакует корпоративных пользователей и загружается на все доступные компьютеры в результате взлома целевой сети.

Проведенный в Bleeping Computer анализ показал, что очередной вариант вымогательской программы сильно отличается от предыдущих версий. Наиболее очевидным изменением является новое расширение, добавляемое к имени зашифрованных файлов, — теперь зловред использует .m3g4c0rtx. Он также отображает на экране заставку, имитирующую стиль правового уведомления, — Locked by MegaCortex («заблокировано MegaCortex»), с указанием email-контактов.

Модуль запуска MegaCortex подписан сертификатом УЦ Sectigo (ранее Comodo), выданным на имя австралийской компании Mursa Pty Ltd. При исполнении этот компонент распаковывает и загружает в папку временных файлов две динамические библиотеки и три CMD-скрипта.

Библиотеки DLL используются для поиска и шифрования файлов; их запуск осуществляется через утилиту командной строки Rundll32.exe. Файлы .CMD содержат команды, с помощью которых зловред удаляет теневые копии Windows, чистит свободное пространство на диске C, выводит «официальную» заставку и вычищает свои файлы, которые он использовал в ходе шифрования.

Выполнив основную задачу, MegaCortex создает на рабочем столе файл !-!_README_!-!.rtf с развернутым сообщением о случившимся и требованием выкупа в биткойнах. В этом тексте упомянута смена идентификаторов пользователя, и проверка это подтвердила — эксперт Bleeping Computer не смог войти в зараженную систему после перезапуска. Как оказалось, шифровальщик меняет пароль к учетной записи Windows, используя команду net user.

В своем сообщении вымогатели также грозят выложить данные жертвы в открытый доступ, если не получат выкуп. Доказательств копирования информации исследователи не обнаружили, так что эта угроза, похоже, не имеет оснований.

На миниатюре представлен скриншот «правового уведомления» MegaCortex, позаимствованный из блог-записи Bleeping Computer.

Категории: Аналитика, Вредоносные программы, Главное