BleepingComputer が今週報じたところによると、MegaCortex ランサムウェアの新バージョンは、ユーザーの Windows ログイン パスワードを変更し、身代金を支払わない場合はファイルを公開すると脅迫している。
最近、ランサムウェアは、様々なセキュリティ脆弱性を悪用可能な、より広範なPCへの攻撃を自動化し始めました。現在、このランサムウェアはWindowsのロック画面に「MegaCortexによってロックされました」というメッセージと、2つのメールアドレス、そして「OK」ボタンを含む、法的通知らしきものを表示しています。
MegaCortexランチャーが実行されると、「!-!_README_!-!.rtf」というタイトルの身代金要求メッセージが被害者のデスクトップに表示されます。身代金を支払わない場合はWindowsのパスワードを変更すると脅迫されています。暗号化されたシステムを再起動するとアカウントがロックされるため、これは現実味を帯びています。
身代金要求メッセージには、ユーザーの Windows パスワードを変更するという脅迫だけでなく、被害者のファイルが別の場所にコピーされており、身代金を支払わない限り公開されると書かれています。
BleepingComputerによると、メモには「お客様のデータは安全な場所にダウンロードしました。万が一合意に至らない場合は、このデータを公開せざるを得ません。取引が完了したら、ダウンロードしたデータのコピーはすべて消去されます」と書かれている。
ランサムウェアの作成者は、人々に身代金を支払わせるために恐ろしい警告をでっち上げることがあります。しかし、MegaCortexの作成者が身代金要求メッセージに書いた脅迫文の少なくとも1つは、現実のものであったことが判明しました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ランサムウェアは最近再び増加傾向にあり、特に企業において顕著です。ネットワーク全体をロックアウトすれば、ハッカーは多額の金銭を得られる可能性があります。この状況が続く限り、ランサムウェアの脅威は消えることはないでしょう。
MegaCortexランサムウェアの仕組み
MegaCortexがターゲットマシン上で実行されると、MegaCortexランチャーは2つの.DLLファイルと3つのCMDスクリプトをC:\Windows\Tempディレクトリパスに抽出します。このランチャーは、「MURSA PTY LTD」というオーストラリア企業の証明書によって署名されているようです。
WindowsのRundll32.exeプロセスを介して実行されるDLLファイルは、被害者のファイルを暗号化します。一方、CMDスクリプトは、PCの空き領域の消去や、コンピュータの暗号化に使用されたファイルの削除など、様々なコマンドを実行します。
ファイルを最初に実行すると、前述の「!-!_README_!-!.rtf」身代金要求メモがユーザーのデスクトップに表示されます。
