正如本周BleepingComputer报道的那样,新版本的MegaCortex勒索软件正在更改用户的Windows登录密码,然后威胁说如果他们不支付赎金,则将其文件公开。
MegaCortex最初是一种以企业为中心的勒索软件,使用Emotet木马将其自身安装在网络计算机上。
从最近开始,它开始针对具有各种可利用的安全漏洞的各种PC自动进行攻击。勒索软件现在可以在Windows锁定屏幕上向用户显示看起来像是法律声明的消息,并带有两个电子邮件联系人地址和一个“确定”按钮,其中显示“ MegaCortex锁定”消息。
一旦执行了MegaCortex启动器,受害者的桌面上就会出现一个标题为“!-!_ README _!-!. rtf”的赎金记录。如果用户不支付赎金,该票据可能会更改用户的Windows密码。这似乎是真实的,因为重新启动加密的系统会将用户锁定在其帐户之外。
赎金记录不仅威胁要更改用户的Windows密码,而且还说受害者的文件已被复制到另一个位置,除非他们付清钱,否则它们将被公开:
“我们还将您的数据下载到了安全的位置。不幸的是,如果我们未达成协议,我们别无选择,只能将这些数据公开。一旦交易完成,我们将下载的所有数据副本将被保存。据BleepingComputer称,便笺上写着。
有时,勒索软件的创建者会发出可怕的警告,要求人们付款。但是,MegaCortex创造者在赎金通知书中所构成的威胁中至少有一种是真实存在的。
最近,勒索软件再次呈上升趋势,尤其是在企业中,锁定整个网络可以使黑客获得可观的收益。只要情况仍然如此,勒索软件威胁就不会消失。
MegaCortex勒索软件如何工作
在目标计算机上执行MegaCortex之后,MegaCortex启动器将两个.DLL文件和三个CMD脚本提取到C:\ Windows \ Temp目录路径。发射器似乎由一家澳大利亚公司名为“ MURSA PTY LTD”的证书签署。
通过Windows Rundll32.exe进程运行的DLL文件对受害者的文件进行加密。同时,CMD脚本执行各种其他命令,例如擦除PC上的可用空间以及删除用于加密计算机的文件。
