變種勒索軟體不但加密檔案，還會變更Windows登入密碼

安全研究人員發現一隻今年在歐美肆虐的勒索軟體衍生出新變種，不但會加密檔案，還會變更受害Windows 系統的登入密碼。

MegaCortex是一隻專門經由Emotet木馬連網下載的勒索軟體，加密檔案後向被害人索取贖金。今年8月IBM發現MegaCortex在美、法、荷及加國作亂，發作後會刪光用戶磁碟資料。

但是近日研究人員Vitali Kremez及BleepingComputer發現，這隻惡意程式的新變種更為兇猛，啟動後會顯示一則附上駭客收款用電子郵件，內文為「Locked by MegaCortex」的勒索訊息，但更厲害的是，它還會變更Windows系統的登入密碼。

研究人員分析，變種MegaCortex的啟動程式執行時會釋放出2個dll檔，一個是尋找要加密的檔案，另一個則是執行加密檔案。兩個檔案並未注入任何行程中，而是經由Rundll32.exe執行。啟動程式是由一家數位憑證業者Sectigo發給澳洲公司Mursa Pty LTD的憑證所簽發。Dll檔一經執行，受害電腦桌面上會出現一個名為「!-!README!-!.rtf」的檔案，內文宣稱用戶電腦被入侵、感染MegaCortex惡意式，所有用戶登入密碼都被變更，且檔案也遭加密。唯一取回檔案的方法是付款後，以駭客持有的私鑰來解密。

研究人員測試後證實這隻惡意程式變更的是Windows帳號密碼。當它執行時會同時執行Net user指令清除Windows 系統所有記憶的密碼。這點和安全公司稍早發現另一隻LockerGoga很類似，後者啟動後會停用網卡、變更管理員帳號後讓用戶登出，令用戶再也無法登入電腦。

此外，MegaCortex作者有時會釋放另一條勒索訊息，表示用戶電腦的資料已經被下載到別處，威脅用戶如果不付款，就會將這些資料公開。也就是說，對一些擁有機密資訊或客戶資料的公司而言，這會釀成更大的資料外洩災難。