Conheça melhor o MegaCortex, o ransomware que altera a senha de acesso do Windows

Conheça melhor o MegaCortex, o ransomware que altera a senha de acesso do Windows

6 de novembro de 2019 0 Por Suporte Rede Digital

O ransomware é um dos tipos de malware mais nocivos que existem atualmente no mundo. Esses tipos de ameaças são caracterizados por seqüestrar arquivos do usuário para criptografá-los com uma chave secreta e solicitar um resgate. Esse resgate geralmente é necessário no Bitcoin e deve ser pago através da Dark Web . Além disso, ele pode ser combinado com outras ameaças, como vírus ou cavalos de Troia, para expandir seu efeito devastador.

Um dos últimos a ser tornado público, além de seqüestrar e criptografar nossos arquivos, altera a senha para acessar o Windows.

Os responsáveis ​​pelo MalwareHunterTeam descobriram uma nova versão do MegaCortex Ransomware com efeitos muito mais graves que as versões anteriores. Essa nova ameaça à segurança não apenas criptografa os arquivos, mas também altera a senha de acesso do usuário do Windows conectada naquele momento. Caso isso não seja suficiente, também ameaça publicar os arquivos da vítima, se a vítima não concordar em pagar o resgate.

Este é o MegaCortex, o ransomware que altera a senha de acesso do Windows

Este ransomware é instalado através de cavalos de Troia como o Emotet . Depois de obter acesso à rede, o ransomware é instalado em todas as máquinas conectadas por meio do Active Directory ou de outros sistemas. A partir daí, a provação começa para usuários que agora se nivelam com a descoberta de uma nova variante mais preocupante do que as anteriores.

Detectar se somos afetados por essa variante é muito simples, pois basta verificar se nossos arquivos agora têm a extensão .m3g4c0rtx no final do nome. Além disso, o ransomware modifica a tela inicial do sistema operacional exibindo uma mensagem com o texto “Bloqueado pelo MegaCortex”, juntamente com algumas contas de email de contato.

Depois que o ransomware penetra no sistema, ele extrai dois arquivos DLL e três scripts CMD em C: \ Windows \ Temp para iniciar seu “processo”. Os arquivos CMD executam várias ações, como eliminar cópias de sombra, limpar todo o espaço livre em C: /, criptografar os arquivos e remover qualquer vestígio da ferramenta usada para isso.

Após o término do processo, o usuário encontrará o arquivo “! -! _ README _! -!. Rtf” na área de trabalho. Isso explica que seus arquivos foram criptografados e sua senha de acesso foi alterada, além de exigir pagamento para obter a chave privada necessária para recuperar os arquivos.

Embora em alguns casos o ransomware faça ameaças que não são seguidas, nesse caso, é verdade que a senha do Windows é alterada. Se reiniciarmos o sistema , não poderemos mais acessar e isso explica que o ransomware é oferecido na tela inicial.

Finalmente, o ransomware ameaça publicar os arquivos particulares do usuário, explicando que eles foram baixados em um local seguro. Em caso de pagamento, eles prometem excluir tudo o que baixaram do nosso computador.

Este é o texto completo que podemos ler após ser infectado (traduzido):

A rede da sua empresa foi violada e infectada com o MegaCortex Malware.

Todas as suas credenciais de usuário foram alteradas e seus arquivos foram criptografados. Garantimos que a única maneira de recuperar seus dados de maneira rápida e segura é com o nosso software. A restauração de seus dados requer uma chave privada que somente nós possuímos.

Para confirmar que nosso software de descriptografia funciona, envie-nos dois arquivos de computadores aleatórios. Você receberá mais instruções depois de nos enviar os arquivos de teste.

Após receber o pagamento, forneceremos o decodificador, incluindo seu código fonte completo e credenciais para seus computadores.

Também baixamos seus dados para um local seguro. No infeliz caso de não termos chegado a um acordo, não teremos escolha a não ser tornar esses dados públicos.

Uma vez finalizada a transação, todas as cópias dos dados que baixamos serão apagadas.

Forneceremos qualquer assistência, se necessário.

E-mails de contato:

redacted@redacted.com

ou

redacted@redacted.com