Photo by Aleksey Milov on Unsplash

安全研究人員發現一隻今年在歐美肆虐的勒索軟體衍生出新變種,不但會加密檔案,還會變更受害Windows 系統的登入密碼。

MegaCortex是一隻專門經由Emotet木馬連網下載的勒索軟體,加密檔案後向被害人索取贖金。今年8月IBM發現MegaCortex在美、法、荷及加國作亂,發作後會刪光用戶磁碟資料。

但是近日研究人員Vitali KremezBleepingComputer發現,這隻惡意程式的新變種更為兇猛,啟動後會顯示一則附上駭客收款用電子郵件,內文為「Locked by MegaCortex」的勒索訊息,但更厲害的是,它還會變更Windows系統的登入密碼。

研究人員分析,變種MegaCortex的啟動程式執行時會釋放出2個dll檔,一個是尋找要加密的檔案,另一個則是執行加密檔案。兩個檔案並未注入任何行程中,而是經由Rundll32.exe執行。啟動程式是由一家數位憑證業者Sectigo發給澳洲公司Mursa Pty LTD的憑證所簽發。Dll檔一經執行,受害電腦桌面上會出現一個名為「!-!README!-!.rtf」的檔案,內文宣稱用戶電腦被入侵、感染MegaCortex惡意式,所有用戶登入密碼都被變更,且檔案也遭加密。唯一取回檔案的方法是付款後,以駭客持有的私鑰來解密。

研究人員測試後證實這隻惡意程式變更的是Windows帳號密碼。當它執行時會同時執行Net user指令清除Windows 系統所有記憶的密碼。這點和安全公司稍早發現另一隻LockerGoga很類似,後者啟動後會停用網卡、變更管理員帳號後讓用戶登出,令用戶再也無法登入電腦。

此外,MegaCortex作者有時會釋放另一條勒索訊息,表示用戶電腦的資料已經被下載到別處,威脅用戶如果不付款,就會將這些資料公開。也就是說,對一些擁有機密資訊或客戶資料的公司而言,這會釀成更大的資料外洩災難。


Advertisement

更多 iThome相關內容