Aljas zsarolóvírus, ami megváltoztatja a Windows jelszót is

A MegaCortex új változata már nem csak az üzleti felhasználókra utazik, így érdemes résen lenni, nehogy belefussunk.

Aljas zsarolóvírus, ami megváltoztatja a Windows jelszót is

A MegaCortex zsarolóvírus eddig csak az üzleti hálózatokat vette célba, ahol jellemzően egy teljes helyi hálózat megbénításával próbálkozott annak érdekében, hogy minél nagyobb váltságdíjat szedhessen. A támadást rendszerint egy trójain keresztül vitte sikerre a zsarolóvírus – ez rendszerint az Emotet volt –, amelynek segítségével hozzáférést nyert a helyi hálózathoz, majd telepíthette a szükséges fájlokat, elvégezhette az adattitkosítással járó műveleteket, majd tarthatta virtuális kezét a váltságdíjért.

Galéria megnyitása Ezeket a fájlokat szórja a TEMP könyvtárba a kártékony kód A BleepingComputer biztonságtechnikai szakemberei szerint az elmúlt időszakban a MegaCortex szintet lépett, fejlődött, így a célkeresztjébe is nagyobb felhasználói bázis kerülhetett, nem csak az üzleti felhasználóké. Az új verziót elsőként a MalwareHunterTeam fedezte fel, majd Vitali Kremez visszafejtette, a BleepingComputer szakemberei pedig megvizsgálták, pontosan mit és hogyan csinál.

Galéria megnyitása Ha ezt látjuk, akkor már baj van... Az első érdekesség, hogy a titkosított fájlok kiterjesztése az új verzió esetében már .m3g4cortx, vagyis ha ezt a kiterjesztést látjuk, biztosak lehetünk benne, hogy a MegaCortex ügyködött az adott rendszeren – már ameddig egyáltalán be tudunk lépni a Windowsba…

A zsarolóvírus lényegében az ismert sebezhetőségekGaléria megnyitása Az asztalon megjelenő tájékoztató tartalma, amit az első újraindításig lehet megnézni et próbálja kiaknázni a különböző konfigurációknál, és ha azon keresztül bejut, tüstént munkához is lát. Ahogy a MegaCortex fő kódja elindul, két darab DLL fájl és három darab CMD szkript kerül az adott rendszer C:\Windows\Temp könyvtárába. Maga az indító állomány egyébként egy Sectigo tanúsítvánnyal van aláírva, amit egy ausztrál vállalat, a MURSA PTY LTD nevére állítottak ki.

A CMD szkriptek különböző műveleteket végeznek el: a Cipher parancs segítségével törlik a C:\ meghajtón lévő szabad helyet, valamint a fájltitkosításra használt két DLL után is takarítást végeznek. Magukat a DLL-eket egyébként nem injektálja bele a zsarolóvírus egyetlen folyamatba sem, pusztán a Rundll32.exe szolgálatait veszi igénybe. Ahogy a fenti munka kész, az asztalon megjelenik egy !-!_README_!-!.rtf nevezetű fájl, ami minden információt, amit tudnia kell az áldozatnak.

Ebben a fájlban tájékoztatják, hogy ha nem sikerül megállapodni, akkor személyes fájljait, amelyeket előzőleg egy biztonságos helyre másoltak, publikussá teszik. Ha viszont kifizetésre kerül a váltságdíj, akkor segítenek a fájlok titkosításának feloldásában, valamint a Windows bejeltkezési adatokat is odaadják, azokat ugyanis a malware megváltoztatja, így újraindítás után ki lesz zárva a felhasználó a saját rendszeréből. Erről egy egyedi bejelentkezési képernyő is tájékoztatni fogja, amely tartalmazza azt az e-mail címet is, amelyen keresztül kommunikálni lehet az elkövetőkkel.

Hogy mit lehet tenni az efféle támadások ellen? Első körben érdemes frissen tartani az operációs rendszert, a védelmi szoftvereket, illetve az általunk használt egyéb alkalmazásokat is. Második körben kerülni kell a gyanús weboldalakat, valamint az e-mail csatolmányokkal is érdemes vigyázni – még akkor is, ha látszólag megbízható helyről érkeztek. Érdemes ellenőrizni a valódi feladót, valamint a csatolmány nevét és kiterjesztését is, ha pedig bármi gyanúsat látunk, törölni kell az adott levelet.

Neked ajánljuk

Kiemelt
-{{ product.discountDiff|formatPriceWithCode }}
{{ discountPercent(product) }}
Új
Teszteltük
{{ product.commentCount }}
{{ voucherAdditionalProduct.originalPrice|formatPrice }} Ft
Ajándékutalvány
0% THM
{{ product.displayName }}
nem elérhető
{{ product.originalPrice|formatPriceWithCode }}
{{ product.grossPrice|formatPriceWithCode }}
{{ product.grossPrice|formatPriceWithCode }}
{{ product.displayName }}

Tesztek

{{ i }}
{{ totalTranslation }}
Sorrend

Szólj hozzá!

A komment írásához előbb jelentkezz be!
{{ orderNumber }}
{{ showMoreLabelTranslation }}
A komment írásához előbb jelentkezz be!
Még nem érkeztek hozzászólások ehhez a cikkhez!
Még nem érkeztek hozzászólások ehhez a cikkhez!
Segíts másoknak, mondd el, mit gondolsz a cikkről.

Kapcsolódó cikkek

Magazin címlap