Rilevata nuova variante del ransomware MegaCortex

11/11/2019

MegaCortex ransomware

Scoperto a maggio dai ricercatori di sicurezza Sophos, nei giorni scorsi, una nuova variante più complessa è stata individuata dai ricercatori di MalwareHunter Team.

Rispetto alla variante scoperta a maggio e veicolata anche in Italia, MegaCortex non solo cifra i file ma modifica anche la password di accesso al dispositivo e minaccia di pubblicare i file della potenziale vittima se non procede con il pagamento del riscatto.

Un altro elemento di diversificazione rispetto alla precedente versione è la nuova estensione usata per cifrare i file, la nuova variante infatti utilizza l’estensione .m3g4c0rtx.

Come funziona MegaCortex?

Dopo aver ottenuto l’accesso alla rete, il ransomware viene installato su tutte le macchine connesse tramite active directory o altri sistemi. Una volta che il ransomware penetra nei sistemi rilascia due file DLL e tre script (cmd) posizionandoli in C:\Windows\Temp per dare inizio al “processo” di compromissione.

I file CMD eseguono varie azioni, come eliminare le copie shadow, liberare tutto lo spazio su disco e cifrare i file.

Terminato il processo, l’utente troverà il file “! -! _ README _! -!. Rtf” sul desktop. Il documento informa dell’avvenuta cifratura dei file oltre a richiedere un pagamento per poter liberare i documenti cifrati.

Inoltre, se l’utente prova a riavviare il sistema non sarà più in grado di accedere poichè MegaCortex durante il processo di infezione è in grado di modificare la password di accesso del dispositivo.

 

Al momento non ci sono evidenze di attacchi in Italia, come avvenuto lo scorso maggio. Il Cert-Pa continua a monitorare la diffusione, eventuali altre evidenze saranno comunicate.