MegaCortex : réminiscence du ransomware avec publication potentielle des données subtilisées !

Mis en lumière initialement par Sophos, le 3 Mai 2019, le ransomware MegaCortex semble refaire apparition, avec une nouvelle variante dans le modus operandi : la menace potentielle de publier les données ainsi subtilisées, si la victime n'accédait à la requête finançière...

 

 

C'est ce que révèle les découvertes de l'équipe sécuritaire MalwareHunterTeam et de l'analyste-ingénieur Vitali Kremez. Selon les compléments d'informations obtenus par BleepingComputer.com, cette variante serait identifiée ".m3g4c0rtx" (extension de fichiers ainsi cryptés) et bloquerait la session-utilisateur en encryptant, également, le mot de passe, par l'entremise d'un script dans les fichiers temp(oraires) de Windows avec deux .dll (M3GA-M5).

Un fichier "lisez-moi" reste accessible : il s'agit des instructions pour déverrouiller le système. L'utilisateur apprend, alors, que le mot de passe a été changé et que s'il ne paye pas le montant indiqué, l'ensemble des données sur le système sera publié sur l'Internet. Autre point : l'origine de la signature des certificats - Sertigo - qui pointerait vers l'Australie (Mursa Pty Ltd).

Pour l'heure, si l'exploit est réalisable, on ne connaît pas réellement les dégâts de cette nouvelle mouture de MegaCortex... A veiller !

 

Sources :