Un equipo de investigadores de seguridad ha descubierto una variante del ransomware MegaCortex capaz de cambiar tu contraseña de Windows y publicar los datos almacenados en el equipo.
Una variante devastadora
Sophos fue la compañía que descubrió, el pasado mes de julio, este virus que se distribuye mediante ataques dirigidos, gracias al acceso que le brindan troyanos como Emotet. Su principal objetivo es instalarse en todos los equipos que haya conectados a una misma red, encriptando los archivos y secuestrando los terminales. La nueva variante de este ransomware, descubierta por MalwareHunterTeam, va un paso más allá y cambia la contraseña de la cuenta de Windows del equipo infectado, impidiendo el iniciar sesión.
Una vez consigue cifrar los archivos y cambiar la contraseña de acceso, muestra una nota de rescate con la información necesaria para recuperar el equipo y el contenido que almacena. El usuario tendrá que contactar con el atacante por correo electrónico. En caso de no hacerlo, amenazan con publicar los datos secuestrados. Lo gracioso es que, una vez pagado el rescate, el atacante se permite el lujo de “informar” a la víctima sobre cómo mejorar la seguridad de su equipo.
Los expertos desaconsejan pagar el rescate, ya que no existen garantías de que vayas a recuperar la información robada. Se desconoce si esta amenaza es real o solo una estrategia para asustar al usuario y conseguir el pago. Nosotros te recomendamos tener un backup con toda la información que almacenas en tu equipo para que, en caso ser infectado, puedas restaurar tu información sin ningún problema.
Malware dañino
El ransomware es uno de los tipos de malware más dañinos que existen actualmente. Este tipo de amenazas se caracterizan por secuestrar los archivos para cifrarlos con una clave secreta y después pedir un rescate. Este rescate normalmente se exige en Bitcoin y debe ser pagado a través de la Dark Web. Basta con recordar que esta misma semana, medios de comunicación como la cadena SER o empresas como Everis fueron atacadas por el ransomware Ryuk, al mismo tiempo que conocíamos la variante BitPaymer/iEncrypt.
La forma habitual de actuar de este tipo de ransomware suele comenzar con correos maliciosos de phishing que roban los datos y las credenciales de los usuarios. De esta forma un atacante puede acceder a las credenciales del Directorio Activo de Windows y, a partir de ahí, detectar servidores con información sensible que puedan ser infectados. Además, estos ataques pueden combinarse con otro tipo de amenazas, como en el caso de MegaCortex, para conseguir un efecto devastador.
Para detectar a tiempo si tu equipo está afectado por esta variante de MegaCortex sólo tienes que comprobar si tus archivos tienen la extensión .m3g4c0rtx. Si es demasiado tarde te darás cuenta porque modifica la pantalla de inicio del sistema operativo mostrando un mensaje con el texto “Locked by MegaCortex”.
El ransomware extrae dos ficheros DLL y tres scripts CMD en C:\Windows\Temp para iniciar el ataque. Los ficheros CMD activan diversas acciones como, por ejemplo, eliminar las Shadow Copies, limpiar todo el espacio libre en C:/, cifrar los archivos y, después, eliminar todo rastro.
Si consigue finalizar el proceso, verás el fichero “!-!_README_!-!.rtf” en el escritorio, en el que el atacante te explica que ha cifrado tus archivos y ha cambiado la contraseña de acceso. También, como ya habíamos adelantado, exige una recompensa económica recuperar los archivos secuestrados y el equipo.