.gif)
zhema
Опытный user
- Регистрация
- 19 Окт 2019
- Сообщения
- 130
- Реакции
- 1
Последняя версия вируса-вымогателя MegaCortex помимо шифровки информации, меняет пароль профиля Windows. Если пользователь отказывается платить, то новый Megacortex также угрожает опубликовать файлы пользователя, которые он якобы сохранил в «надежное место», но на данный момент нет информации, что это более, чем пустая угроза.
Изначально MegaCortex был обнаружен ИБ-специалистами в начале 2019 года. Он в основном атакует компьютеры организаций и перемещается на все доступные ПК после взлома целевой сети.
Анализ, который провели в Bleeping Computer, показал, что новый вариант Megacortex заметно отличается от прошлых версий. Самым заметным на первый взгляд отличием является расширение, дописываемое к имени зашифрованных файлов, — теперь он использует .m3g4c0rtx. Он также выводит на экран заставку с уведомлением: Locked by MegaCortex, с указанием электронной почты.
Другое отличие - модуль запуска MegaCortex подписан сертификатом УЦ Sectigo (ранее был Comodo), выданным на имя австралийской компании Mursa Pty Ltd.
Завершив свою главную задачу, шифровальщик создает на рабочем столе файл !-!_README_!-!.rtf с описанием ситуации и требованием оплаты в BTC. В данном файле также говорится про изменение ID пользователя, и эта информация подтвердилась — специалисту Bleeping Computer не удалось войти в заражённую ОС после перезагрузки. В итоге выяснилось, что вирус изменяет пароль к учётной записи Windows с помощью команды net user.
Как работает Megacortex
Вирус использует DLL библиотеки для поиска и шифрования файлов. Запуск происходит с помощью утилиты командной строки Rundll32.exe. Файлы .CMD содержат команды, с помощью которых вирус удаляет теневые копии Windows, чистит пустое пространство на диске C, выводит свою заставку на рабочий стол и удаляет свои файлы, использовавшиеся в процессе шифрования.
Изначально MegaCortex был обнаружен ИБ-специалистами в начале 2019 года. Он в основном атакует компьютеры организаций и перемещается на все доступные ПК после взлома целевой сети.
Анализ, который провели в Bleeping Computer, показал, что новый вариант Megacortex заметно отличается от прошлых версий. Самым заметным на первый взгляд отличием является расширение, дописываемое к имени зашифрованных файлов, — теперь он использует .m3g4c0rtx. Он также выводит на экран заставку с уведомлением: Locked by MegaCortex, с указанием электронной почты.
Другое отличие - модуль запуска MegaCortex подписан сертификатом УЦ Sectigo (ранее был Comodo), выданным на имя австралийской компании Mursa Pty Ltd.
Завершив свою главную задачу, шифровальщик создает на рабочем столе файл !-!_README_!-!.rtf с описанием ситуации и требованием оплаты в BTC. В данном файле также говорится про изменение ID пользователя, и эта информация подтвердилась — специалисту Bleeping Computer не удалось войти в заражённую ОС после перезагрузки. В итоге выяснилось, что вирус изменяет пароль к учётной записи Windows с помощью команды net user.
Как работает Megacortex
Вирус использует DLL библиотеки для поиска и шифрования файлов. Запуск происходит с помощью утилиты командной строки Rundll32.exe. Файлы .CMD содержат команды, с помощью которых вирус удаляет теневые копии Windows, чистит пустое пространство на диске C, выводит свою заставку на рабочий стол и удаляет свои файлы, использовавшиеся в процессе шифрования.
