Новая версия вымогателя MegaCortex не только шифрует файлы, но и меняет пароли, а также угрожает обнародовать информацию жертвы, если та не заплатит выкуп.
Напомню, что данный вымогатель известен специалистам уже некоторое время. Он распространяется при помощи другой малвари, к примеру Emotet, и операторы шифровальщика стараются как можно быстрее добраться до контроллера домена, чтобы распространить угрозу на максимальное количество систем.
Издание Bleeping Computer сообщает, что новую версию MegaCortex заметили специалисты MalwareHunterTeam и Виталий Кремез (Vitali Kremez). Теперь шифровальщик изменяет расширения пострадавших файлов на .m3g4c0rtx, а также использует пару новых трюков.
Так, теперь лончер MegaCortex извлекает два файла DLL и три скрипта CMD в папку C:\Windows\Temp. При этом лончер подписан сертификатом Sectigo, выданным австралийской компании MURSA PTY LTD. Файлы CMD используются для выполнения ряда команд, включая удаление теневых копий и затирания всего свободного пространства на диске C:\.
Но теперь MegaCortex еще и запугивает своих жертв, принуждая их заплатить. Дело в том, что новая записка с требованием выкупа начинается с фразы «все ваши учтенные данные были изменены и все файлы зашифрованы». Как выяснили специалисты, это не пустая угроза: малварь действительно изменяет пароли жертв от Windows-аккаунтов.
Кроме того, теперь злоумышленники утверждают, что не только зашифровали, но и скопировали все данные жертвы, и угрожают опубликовать их в открытом доступе, если не получат выкуп. Исследователи отмечают, что пока нет никаких подтверждений тому, что атакующие действительно копируют куда-либо информацию пострадавших.
Фото: Bleeping Computer