Una variante recientemente descubierta, de MegaCortex ransomware va mucho más allá de simplemente encriptar los archivos de las víctimas. También cambia sus contraseñas de Windows y amenaza con publicar sus datos robados si no pagan.
En un informe de principios de esta semana, BleepingComputer aseguró que ayudó a analizar la nueva cepa después de que fue descubierta por MalwareHunterTeam y posteriormente sometida a ingeniería inversa, por el investigador Vitali Kremez.
“Todas sus credenciales de usuario han sido cambiadas y sus archivos cifrados”, advierte la nota de rescate a las víctimas infectadas. Ambas amenazas son ciertas: los archivos están cifrados y tienen una extensión.m3g4c0rtx, y las víctimas que intentan iniciar sesión en su sistema se darán cuenta de que no pueden. En su lugar, todo lo que verán es un aviso legal que dice “Locked by MegaCortex” (Bloqueado por MegaCortex), junto con las direcciones de correo electrónico controladas por el atacante con las que comunicarse.
El cambio de credencial es posible ejecutando el comando de usuario de red cuando se ejecuta el ransomware.
La nota de rescate también representa una segunda amenaza: “También hemos descargado sus datos a una ubicación segura. En el desafortunado caso de que no lleguemos a un acuerdo, no tendremos más remedio que hacer públicos estos datos”. Se ha confirmado si los ataques MegaCortex realmente tienen esta capacidad.
La encriptación de archivos se lleva a cabo mediante dos archivos DLL extraídos, mientras que un trío de archivos CMD se aprovecha para eliminar las copias de volumen sombra, limpiar el espacio libre en la unidad C:\, crear el aviso legal mencionado anteriormente y limpiar los archivos maliciosos.
Con información de: ComputerHoy.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian