加密勒索程式 MegaCortex 的新版本被發現不再單純加密檔案,同時會更改用戶登入 Windows 的密碼,並威脅把受害者的資料公開,隨時令事件由單純的加密勒索變成資料外洩。
新版本明顯改變
MegaCortex 是一款針對性的加密勒索程式,先透過木馬程式 (例如 Emotet) 通過網絡安裝,成功進入之後才利用內聯網推送加密勒索程式。在新的樣本中,研究人員發現 MegaCortex 出現明顯的改變,不但副檔名轉換為 .m3g4cortx,現在更會在用戶登入 Windows 登入之前顯示勒索訊息。
在暗地裡,啟動工具把拆解出 2 個 .dll 和 3 個.cmd 檔案,該啟動工具是由澳洲公司 MURSA PTY LTD 簽發的 Sectigo 證書。CMD 檔案會執行不同的指令去刪除磁碟區陰影複製服務,使用 Cipher 指令清除 C:\ 所有閒置空間,並設定勒索訊息,再刪除用戶加密電腦的蛛絲馬跡。
研究人員指出,兩個 DLL 檔案中一個用來尋找加密的目標檔案,另一個用作加密檔案,完成後受害者會看見勒索訊息出現在桌面,內容提及用戶的 Windows 帳號密碼已被更改,經研究人員分析後發現屬實,當用戶重新啟動電腦時,在原本登入的畫面現在變成勒索畫面,用戶根本無法登入電腦,這亦解釋到為何勒索訊息要在登入前的步驟出現。
威脅公開資料
除了更改用戶的登入密碼和加密檔案,攻擊者同時威脅已經把資料複製到一個秘密的位置,如果不支付贖金便會把資料公開,現階段並未確定攻擊者是否已經複製資料,由於攻擊者有留下聯絡資料,相信受害者能夠透過聯絡查看是否真的有複製受害者的資料,如果證實屬實的話,這個攻擊應該歸類為資料外洩,而並非單純的加密勒索程式感染。
資料來源:Bleeping Computer
