Den nye version af den MegaCortex ransomware krypterer ikke kun filer, men også ændringer af adgangskoder i Windows, og truer med at afsløre ofrets oplysninger, hvis det ikke kan betale løsesummen.
ReCall at denne ransomware er blevet berømt for specialister i et stykke tid. Det fordeles anvendelse af en anden malware, såsom Emotet, og kryptografiske operatører forsøger at komme til domænecontroller så hurtigt som muligt for at sprede truslen mod det maksimale antal systemer.Offentliggørelsen i bleeping Computer rapporterer, at specialister i Malware Hunter Team og Vitali Kremez bemærket den nye version af MegaCortex. Nu ransomware ændrer forlængelserne af de berørte filer til .m3g4c0rtx, og bruger et par nye tricks.
Derfor, nu MegaCortex Launcher udtrækker to DLL-filer og tre CMD scripts til C:\Windows Temp folder. På samme tid, løfteraket er underskrevet af Sectigo certifikat udstedt af det australske firma MURSA PTY LTD. CMD filer bruges til at udføre en række kommandoer, herunder sletning af øjebliksbilleder og overskrive alle ledige plads på C:\køre.
"Ud over, MegaCortex vil nu konfigurere en juridisk meddelelse om krypterede maskinen, så det viser et grundlæggende “Låst af MegaCortex” løsesum besked med e-mail kontakter, før en bruger selv logger ind”, - skrive Bleeping Computer journalister.
Nu MegaCortex intimiderer også sine ofre, tvinger dem til at betale.
Faktum er, at en ny løsesum notat begynder med sætningen “alle dine legitimationsoplysninger er blevet ændret, og alle filer er krypteret.” Som eksperterne fundet ud af, dette er ikke en tom trussel: malware virkelig ændrer passwords af ofre i Windows-konti.
Desuden, nu angriberne hævder, at de ikke kun krypteret, men også kopieret alle data fra offeret, og truede med at offentliggøre det i det offentlige rum, hvis de ikke får den løsesum.
“Vi har også downloadet dine data til et sikkert sted. I uheldige tilfælde af os ikke at komme til en aftale vil vi have andet valg end at gøre disse data offentligt. Når transaktionen er afsluttet alle kopier af data, vi har hentet, vil blive slettet”, - siger cyberkriminelle budskab.
Forskere bemærke, at indtil videre er der ingen beviser for, at angriberne virkelig kopierer oplysninger af ofrene. imidlertid, denne trussel bør ikke overses. Hvis MegaCortex aktører faktisk kopierer data, selvom, ofre skal nu behandle disse angreb som et brud data fremadrettet i stedet for bare en ransomware infektion.
