A MegaCortex zsarolóvírus eddig csak az üzleti hálózatokat vette célba, ahol jellemzően egy teljes helyi hálózat megbénításával próbálkozott annak érdekében, hogy minél nagyobb váltságdíjat szedhessen. A támadást rendszerint egy trójain keresztül vitte sikerre a zsarolóvírus – ez rendszerint az Emotet volt –, amelynek segítségével hozzáférést nyert a helyi hálózathoz, majd telepíthette a szükséges fájlokat, elvégezhette az adattitkosítással járó műveleteket, majd tarthatta virtuális kezét a váltságdíjért.
A BleepingComputer biztonságtechnikai szakemberei szerint az elmúlt időszakban a MegaCortex szintet lépett, fejlődött, így a célkeresztjébe is nagyobb felhasználói bázis kerülhetett, nem csak az üzleti felhasználóké. Az új verziót elsőként a MalwareHunterTeam fedezte fel, majd Vitali Kremez visszafejtette, a BleepingComputer szakemberei pedig megvizsgálták, pontosan mit és hogyan csinál.Az első érdekesség, hogy a titkosított fájlok kiterjesztése az új verzió esetében már .m3g4cortx, vagyis ha ezt a kiterjesztést látjuk, biztosak lehetünk benne, hogy a MegaCortex ügyködött az adott rendszeren – már ameddig egyáltalán be tudunk lépni a Windowsba…
A zsarolóvírus lényegében az ismert sebezhetőségek
et próbálja kiaknázni a különböző konfigurációknál, és ha azon keresztül bejut, tüstént munkához is lát. Ahogy a MegaCortex fő kódja elindul, két darab DLL fájl és három darab CMD szkript kerül az adott rendszer C:\Windows\Temp könyvtárába. Maga az indító állomány egyébként egy Sectigo tanúsítvánnyal van aláírva, amit egy ausztrál vállalat, a MURSA PTY LTD nevére állítottak ki.
A CMD szkriptek különböző műveleteket végeznek el: a Cipher parancs segítségével törlik a C:\ meghajtón lévő szabad helyet, valamint a fájltitkosításra használt két DLL után is takarítást végeznek. Magukat a DLL-eket egyébként nem injektálja bele a zsarolóvírus egyetlen folyamatba sem, pusztán a Rundll32.exe szolgálatait veszi igénybe. Ahogy a fenti munka kész, az asztalon megjelenik egy !-!_README_!-!.rtf nevezetű fájl, ami minden információt, amit tudnia kell az áldozatnak.
Ebben a fájlban tájékoztatják, hogy ha nem sikerül megállapodni, akkor személyes fájljait, amelyeket előzőleg egy biztonságos helyre másoltak, publikussá teszik. Ha viszont kifizetésre kerül a váltságdíj, akkor segítenek a fájlok titkosításának feloldásában, valamint a Windows bejeltkezési adatokat is odaadják, azokat ugyanis a malware megváltoztatja, így újraindítás után ki lesz zárva a felhasználó a saját rendszeréből. Erről egy egyedi bejelentkezési képernyő is tájékoztatni fogja, amely tartalmazza azt az e-mail címet is, amelyen keresztül kommunikálni lehet az elkövetőkkel.
Hogy mit lehet tenni az efféle támadások ellen? Első körben érdemes frissen tartani az operációs rendszert, a védelmi szoftvereket, illetve az általunk használt egyéb alkalmazásokat is. Második körben kerülni kell a gyanús weboldalakat, valamint az e-mail csatolmányokkal is érdemes vigyázni – még akkor is, ha látszólag megbízható helyről érkeztek. Érdemes ellenőrizni a valódi feladót, valamint a csatolmány nevét és kiterjesztését is, ha pedig bármi gyanúsat látunk, törölni kell az adott levelet.
