Sophos alerta para o novo ransomware MegaCortex

De acordo com a Sophos, o novo ransomware MegaCortex tem como alvo redes corporativas e as estações de trabalho conectadas a elas.

O que é um ransomware?

Ransomware é um tipo de malware que restringe o acesso ao sistema ou certos arquivos e cobra um valor de “resgate” para que o acesso possa ser restabelecido.

Exemplos conhecidos incluem o CryptoLocker, CryptoWall, CTBLocker, CoinVault e Bitcryptor.

Ferramentas para desbloquear arquivos criptografados por este tipo de ameaça também estão disponíveis no portal No More Ransom. O portal foi lançado pela Unidade de Crime de Alta Tecnologia da Polícia Holandesa, European Cybercrime Centre (EC3) da Europol e duas empresas de cibersegurança – a Kaspersky Lab, McAfee e a ESET.

Acesse o portal clicando aqui.

Ransomware MegaCortex

Depois de invadir a rede, o ransomware MegaCortex infectará todos os computadores conectados a ela. A Sophos confirmou que infecções pelo novo ransomware foram detectadas nos Estados Unidos, Itália, Canadá e outros países.

Por ser muito recente, poucos detalhes são conhecidos sobre este ransomware.

Depois de infectar o computador, o ransomware encerrará 44 processos diferentes, interromperá 199 serviços do Windows e desativará outros 194 serviços:

Depois desta etapa, ele executará seu componente principal chamado winnit.exe:

Segundo o pesquisador de segurança Andrew Brandt, da Sophos, o executável winnit.exe extrairá um arquivo DLL e o executará usando o rundll32.exe.

Este DLL é o ransomware propriamente dito, que criptografará os arquivos e adicionará a extensão ‘.aes128ctr’. Com isso um arquivo teste.doc será renomeado como teste.doc.aes128ctr, por exemplo.

Ele também criará um arquivo usando o mesmo nome do arquivo DLL, mas com a extensão ‘.tsv’, que pode ser a chave de descriptografia.

O pedido de resgate com o nome !!!_READ_ME_!!!.txt inclui informações sobre o que aconteceu e endereços de email usados para entrar em contato com os criminosos: