{"id":224696,"date":"2019-11-08T10:10:51","date_gmt":"2019-11-08T09:10:51","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=224696"},"modified":"2019-11-08T10:28:51","modified_gmt":"2019-11-08T09:28:51","slug":"megacortex-ransomware-ndert-windows-nutzer-kennwort","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/11\/08\/megacortex-ransomware-ndert-windows-nutzer-kennwort\/","title":{"rendered":"MegaCortex Ransomware &auml;ndert Windows Nutzer-Kennwort"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>[<a href=\"https:\/\/borncity.com\/win\/2019\/11\/08\/megacortex-ransomware-changes-windows-user-password\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Eine neue Version des MegaCortex Ransomware wird durch Schadsoftware wie Emotet verbreitet. Die neue Variante verschl\u00fcsselt nicht nur die Dateien des Systems sondern \u00e4ndert auch das Passwort des angemeldeten Nutzers.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg07.met.vgwort.de\/na\/b83f3a80de3646e59669cbe432179939\" width=\"1\" height=\"1\"\/>Dem MalwareHunterTeam sind wohl entsprechende Malware-Beispiele ins Netz gegangen. In folgendem Tweet weisen die auf eine entsprechende Nachricht an Opfer hin.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">The latest MegaCortex ransomware also threats to leak files: \"[&#8230;] downloaded your data [&#8230;]. In the unfortunate event of us not coming to an agreement we will have no choice but to make this data public.\"<br \/>Of course, it can be a lie, but for sure they could do it.<a href=\"https:\/\/twitter.com\/demonslay335?ref_src=twsrc%5Etfw\">@demonslay335<\/a> <a href=\"https:\/\/t.co\/lWgJnSDykS\">pic.twitter.com\/lWgJnSDykS<\/a><\/p>\n<p>\u2014 MalwareHunterTeam (@malwrhunterteam) <a href=\"https:\/\/twitter.com\/malwrhunterteam\/status\/1191630481202266112?ref_src=twsrc%5Etfw\">November 5, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Nach der Verschl\u00fcsselung von Dateien ist das eine neue Qualit\u00e4t \u2013 der Nutzer wird unter Windows quasi vom Benutzerkonto ausgesperrt. Zudem drohen die Erpresser, dass die Daten bei nicht-Zahlung \u00f6ffentlich zu machen. Bleeping Computer hat diesen <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-megacortex-ransomware-changes-windows-passwords-threatens-to-publish-data\/\" target=\"_blank\" rel=\"noopener noreferrer\">Fall hier aufgegriffen<\/a>. Nach einer Analyse von <a href=\"https:\/\/twitter.com\/VK_Intel\" target=\"_blank\" rel=\"noopener noreferrer\">Vitali Kremez<\/a> und von Bleeping Computer \u00e4ndert die MegaCortex-Ransomware ihr Verhalten.<\/p>\n<ul>\n<li>Die Dateien werden in der neuen Version der Ransomware nach dem Verschl\u00fcsseln mit der Dateinamenerweiterung <em>.m3g4c0rtx <\/em>versehen.  <\/li>\n<li>Die Ransomware \u00e4ndert das Windows-Passwort des angemeldeten Benutzers, so dass sich dieser nicht mehr anmelden kann.  <\/li>\n<li>Dem Benutzer wird nun ein Hinweis \"Locked by MegaCortex\" mit einem E-Mail-Konto auf der Anmeldeseite eingeblendet, dass der Rechner durch die Malware gesperrt wurde.<\/li>\n<\/ul>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"MegaCortex Sperrnachricht\" alt=\"MegaCortex Sperrnachricht\" src=\"https:\/\/www.bleepstatic.com\/images\/news\/ransomware\/m\/megacortex\/v4\/legal-notice.jpg\" width=\"603\" height=\"394\"\/><br \/>(MegaCortex Sperrnachricht, Quelle: Bleeping Computer)<\/p>\n<p>Zudem geben die Angreifer vor, die Daten des Opfers an einen sicheren Ort hochgeladen zu haben. Es kommt folgender Text in der Expressungsnachricht vor. <\/p>\n<blockquote>\n<p>\"We have also downloaded your data to a secure location. In the unfortunate event of us not coming to an agreement we will have no choice but to make this data public.<br \/>Once the transaction is finalized all of copies of data we have downloaded will be erased.\"<\/p>\n<\/blockquote>\n<p>Im Text findet sich die Drohung, die Daten bei Nichtzahlung zu ver\u00f6ffentlichen. Bisher ist nicht best\u00e4tigt, ob Angreifer tats\u00e4chlich Dateien der Opfer auf eigene Server hochgeladen haben. Sofern ein Datenabfluss best\u00e4tigt werden kann, stehen Betroffene nicht nur vor dem Problem, Opfer eines Ransomware-Angriffs geworden zu sein. Je nach kopierten Informationen handelt es sich dann auch um einen Datenschutzversto\u00df, der in der EU zu melden ist. <\/p>\n<p>Wenn der Haupt-Launcher von MegaCortex ausgef\u00fchrt wird, extrahiert er zwei DLL-Dateien und drei CMD-Skripte nach C:\\Windows\\Temp. Dann werden die Aktionen durch die Ransomware ausgef\u00fchrt. Der Launcher ist derzeit mit einem Sectigo-Zertifikat f\u00fcr ein australisches Unternehmen namens \"MURSA PTY LTD\" versehen. Inzwischen hat Sectigo das Zertifikat als ung\u00fcltig erkl\u00e4rt. Weitere Details zum Verlauf des Angriffs finden sich im <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-megacortex-ransomware-changes-windows-passwords-threatens-to-publish-data\/\" target=\"_blank\" rel=\"noopener noreferrer\">Bleeping Computer-Artikel<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Eine neue Version des MegaCortex Ransomware wird durch Schadsoftware wie Emotet verbreitet. Die neue Variante verschl\u00fcsselt nicht nur die Dateien des Systems sondern \u00e4ndert auch das Passwort des angemeldeten Nutzers.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4715,4328,4325],"class_list":["post-224696","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-ransomware","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224696","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=224696"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224696\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=224696"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=224696"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=224696"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}