Новая версия MegaCortex не только шифрует данные, но также меняет пароль пользователя Windows. В случае неуплаты выкупа обновленный зловред также обещает опубликовать файлы жертвы, которые он якобы скопировал в «надежное место», однако реальность этой угрозы пока не подтверждена.
Шифровальщик MegaCortex появился в поле зрения ИБ-экспертов в начале этого года. Он преимущественно атакует корпоративных пользователей и загружается на все доступные компьютеры в результате взлома целевой сети.
Проведенный в Bleeping Computer анализ показал, что очередной вариант вымогательской программы сильно отличается от предыдущих версий. Наиболее очевидным изменением является новое расширение, добавляемое к имени зашифрованных файлов, — теперь зловред использует .m3g4c0rtx. Он также отображает на экране заставку, имитирующую стиль правового уведомления, — Locked by MegaCortex («заблокировано MegaCortex»), с указанием email-контактов.
Модуль запуска MegaCortex подписан сертификатом УЦ Sectigo (ранее Comodo), выданным на имя австралийской компании Mursa Pty Ltd. При исполнении этот компонент распаковывает и загружает в папку временных файлов две динамические библиотеки и три CMD-скрипта.
Библиотеки DLL используются для поиска и шифрования файлов; их запуск осуществляется через утилиту командной строки Rundll32.exe. Файлы .CMD содержат команды, с помощью которых зловред удаляет теневые копии Windows, чистит свободное пространство на диске C, выводит «официальную» заставку и вычищает свои файлы, которые он использовал в ходе шифрования.
Выполнив основную задачу, MegaCortex создает на рабочем столе файл !-!_README_!-!.rtf с развернутым сообщением о случившимся и требованием выкупа в биткойнах. В этом тексте упомянута смена идентификаторов пользователя, и проверка это подтвердила — эксперт Bleeping Computer не смог войти в зараженную систему после перезапуска. Как оказалось, шифровальщик меняет пароль к учетной записи Windows, используя команду net user.
В своем сообщении вымогатели также грозят выложить данные жертвы в открытый доступ, если не получат выкуп. Доказательств копирования информации исследователи не обнаружили, так что эта угроза, похоже, не имеет оснований.
Источник: https://threatpost.ru/megacortex-ransomware-changes-windows-user-password/34743/