变种勒索软件不但加密文件，还会变更Windows登录密码

安全研究人员发现一只今年在欧美肆虐的勒索软件衍生出新变种，不但会加密文件，还会变更受害Windows系统的登录密码。

MegaCortex是一只专门经由Emotet木马联网下载的勒索软件，加密文件后向被害人获取赎金。今年8月IBM发现MegaCortex在美、法、荷及加国作乱，发作后会删光用户磁盘数据。

但是近日研究人员Vitali Kremez及BleepingComputer发现，这只恶意程序的新变种更为凶猛，启动后会显示一则附上黑客收款用电子邮件，内文为“Locked by MegaCortex”的勒索消息，但更厉害的是，它还会变更Windows系统的登录密码。

研究人员分析，变种MegaCortex的启动程序执行时会释放出2个dll档，一个是寻找要加密的文件，另一个则是执行加密文件。两个文件并未注入任何行程中，而是经由Rundll32.exe执行。启动程序是由一家数字凭证企业Sectigo发给澳洲公司Mursa Pty LTD的凭证所签发。Dll档一经执行，受害计算机桌面上会出现一个名为“!-!README!-!.rtf”的文件，内文宣称用户计算机被入侵、感染MegaCortex恶意式，所有用户登录密码都被变更，且文件也遭加密。唯一取回文件的方法是付款后，以黑客持有的私钥来解密。

研究人员测试后证实这只恶意程序变更的是Windows账号密码。当它执行时会同时执行Net user指令清除Windows系统所有记忆的密码。这点和安全公司稍早发现另一只LockerGoga很类似，后者启动后会停用网卡、变更管理员账号后让用户注销，令用户再也无法登录计算机。

此外，MegaCortex作者有时会释放另一条勒索消息，表示用户计算机的数据已经被下载到别处，威胁用户如果不付款，就会将这些数据公开。也就是说，对一些拥有机密信息或客户数据的公司而言，这会酿成更大的数据外泄灾难。