MegaCortex恶意软件:更改Windows用户登录密码进行勒索

2019年11月9日00:02:16 发表评论

新版本的MegaCortex勒索软件正在更改用户的Windows登录密码,然后威胁说如果他们不支付赎金,则将其文件公开。

MegaCortex恶意软件:更改Windows用户登录密码进行勒索

MegaCortex最初是一种以企业为中心的勒索软件,使用Emotet木马将其自身安装在网络计算机上。

从最近开始,它开始针对具有各种可利用的安全漏洞的各种PC自动进行攻击。勒索软件现在可以在Windows锁定屏幕上向用户显示看起来像是法律声明的消息,并带有两个电子邮件联系人地址和一个“确定”按钮,其中显示“ MegaCortex锁定”消息。

一旦执行了MegaCortex启动器,受害者的桌面上就会出现一个标题为“!-!_ README _!-!. rtf”的赎金记录。如果用户不支付赎金,该票据可能会更改用户的Windows密码。这似乎是真实的,因为重新启动加密的系统会将用户锁定在其帐户之外。

赎金记录不仅威胁要更改用户的Windows密码,还说受害者的文件已被复制到另一个位置,除非他们付清钱,否则它们将被公开:

“我们还将您的数据下载到了安全的位置。不幸的是,如果我们未达成协议,我们别无选择,只能将这些数据公开。一旦交易完成,我们将下载的所有数据副本将被保存。

有时,勒索软件的创建者会发出可怕的警告,要求人们付款。但是,MegaCortex创造者在赎金通知书中所构成的威胁中至少有一种是真实存在的。

最近,勒索软件再次呈上升趋势,尤其是在企业中,锁定整个网络可以使黑客获得可观的收益。只要情况仍然如此,勒索软件威胁就不会消失。

在目标计算机上执行MegaCortex之后,MegaCortex启动器将两个.DLL文件和三个CMD脚本提取到C:\ Windows \ Temp目录路径。似乎由一家澳大利亚公司名为“ MURSA PTY LTD”的证书签署。

通过Windows Rundll32.exe进程运行的DLL文件对受害者的文件进行加密。同时,CMD脚本执行各种其他命令,例如擦除PC上的可用空间以及删除用于加密计算机的文件。

最初运行文件后,“!-!_ README _!-!. rtf”赎金字样出现在用户的桌面上。

MegaCortex更改受害者的Windows密码

对于勒索软件开发人员来说,为了迫使受害者支付钱财而制造未经威胁的威胁并不少见。

“您的所有用户凭据已更改,并且您的文件已加密。”测试勒索软件并重新启动加密的计算机后,发现无法登录我的帐户。Kremez对代码进行的进一步分析证实,MegaCortex确实在更改受害者Windows帐户的密码。

它通过在执行勒索软件时执行net user命令来实现。

这也解释了为什么攻击者添加了一条法律提示,该提示在登录提示处显示,因为用户将不再能够登录以访问其桌面。

除了已证明的更改用户凭据的声明外,攻击者还更改了赎金记录以声明受害者的数据已复制到安全位置。

然后,他们威胁说,如果受害者不支付赎金,则将这些数据公开。

“我们还将您的数据下载到了安全的位置。不幸的是,如果我们未达成协议,我们别无选择,只能将这些数据公开。

一旦交易完成,我们将下载的所有数据副本将被保存。已删除。”

尚不确定攻击者是否确实复制了受害者的文件,但是不应消除这种威胁,受害者的受害者可能希望确认攻击者与他们进行通讯时确实拥有他们所说的文件。

但是,如果MegaCortex制作者实际上正在复制数据,受害者现在将不得不将这些攻击视为未来的数据泄露(如果是巨头大公司可想而知),而不仅仅是勒索软件感染。

这最终将为这些类型的攻击增加一层全新的复杂性和风险。

发表评论

后发表评论