L’estensione della variante procede a criptare i file dell’utente

Roma – Esiste una variante del ransomware MegaCortex, utilizzato dagli hacker per attacchi mirati ai danni di amministrazioni e di organizzazioni pubbliche e private in tutto il mondo. A scoprirlo è stato il MalwareHunter Team che ha rilevato in un campione come la variante sia in grado di cambiare la password di accesso ai dispositivi compromessi e di minacciare le vittime di diffonderne i file se non pagano il riscatto. Il ransomware è quindi ora in grado di modificare la password di accesso al dispositivo target in modo da bloccare qualsiasi tentativo di intervento tecnico sulla macchina e, al contempo, di minacciare la vittima di pubblicare online tutti i suoi file riservati se non procede con il pagamento del riscatto. L’estensione della variante .m3g4c0rtx e con essa il ransomware procede a criptare i file dell’utente. Inoltre pare sia persino in grado di sfruttare alcuni malware come Emotet od Obot per effettuare altri attacchi. MegaCortex a questo punto inietta due librerie di sistema in formato DLL e tre differenti script salvandoli all’interno della directory C:WindowsTemp, un’operazione che dà il via alla procedura di compromissione dei pc. Subito esegue i tre script utilizzati per eliminare le copie Shadow di Windows in modo da impedire il recupero delle copie di backup dei file criptati, liberare tutto lo spazio su disco e cifrare i file della vittima. Dopodiché chiede il riscatto attraverso un messaggio sul desktop della vittima, archiviandola all’interno del file di testo ! -! _ README _! -!. Rtf. Gli analisti del MalwareHunter Team hanno reso possibile accedere ad un apposito tool per accertarsi che la causa della crittografia sia il ransomware MegaCortex. Resta inoltre opportuno ricordare che non si deve mai pagare il riscatto, per evitare di finanziare così i pirati informatici e rischiare, ex art. 379 c.p., di incappare nel reato di favoreggiamento.

.