新MegaCortex勒索軟體要命了：更改Windows登入密碼並以公開檔案威脅來勒索使用者

新版本的MegaCortex勒索軟體正在更改使用者的Windows登入密碼，然後威脅說如果他們不支付贖金，則將其檔案公開。 

MegaCortex最初是一種以企業為中心的勒索軟體，使用Emotet木馬將其自身安裝在網路計算機上。 

從最近開始，它開始針對具有各種可利用的安全漏洞的各種PC自動進行攻擊。勒索軟體現在可以在Windows鎖定螢幕上向使用者顯示看起來像是法律宣告的訊息，並帶有兩個電子郵件聯絡人地址和一個“確定”按鈕，其中顯示“ MegaCortex鎖定”訊息。 

一旦執行了MegaCortex啟動器，受害者的桌面上就會出現一個標題為“！-！_ README _！-!. rtf”的贖金記錄。如果使用者不支付贖金，該票據可能會更改使用者的Windows密碼。這似乎是真實的，因為重新啟動加密的系統會將使用者鎖定在其帳戶之外。

贖金記錄不僅威脅要更改使用者的Windows密碼，還說受害者的檔案已被複制到另一個位置，除非他們付清錢，否則它們將被公開：

“我們還將您的資料下載到了安全的位置。不幸的是，如果我們未達成協議，我們別無選擇，只能將這些資料公開。一旦交易完成，我們將下載的所有資料副本將被儲存。

有時，勒索軟體的建立者會發出可怕的警告，要求人們付款。但是，MegaCortex創造者在贖金通知書中所構成的威脅中至少有一種是真實存在的。 

最近，勒索軟體再次呈上升趨勢，尤其是在企業中，鎖定整個網路可以使黑客獲得可觀的收益。只要情況仍然如此，勒索軟體威脅就不會消失。

MegaCortex勒索軟體如何工作

在目標計算機上執行MegaCortex之後，MegaCortex啟動器將兩個.DLL檔案和三個CMD指令碼提取到C：\ Windows \ Temp目錄路徑。似乎由一家澳大利亞公司名為“ MURSA PTY LTD”的證書籤署。

通過Windows Rundll32.exe程式執行的DLL檔案對受害者的檔案進行加密。同時，CMD指令碼執行各種其他命令，例如擦除PC上的可用空間以及刪除用於加密計算機的檔案。

最初執行檔案後，“！-！_ README _！-!. rtf”贖金字樣出現在使用者的桌面上。

MegaCortex更改受害者的Windows密碼

對於勒索軟體開發人員來說，為了迫使受害者支付錢財而製造未經威脅的威脅並不少見。 

“您的所有使用者憑據已更改，並且您的檔案已加密。”測試勒索軟體並重新啟動加密的計算機後，發現無法登入我的帳戶。Kremez對程式碼進行的進一步分析證實，MegaCortex確實在更改受害者Windows帳戶的密碼。

它通過在執行勒索軟體時執行net user命令來實現。

這也解釋了為什麼攻擊者新增了一條法律提示，該提示在登入提示處顯示，因為使用者將不再能夠登入以訪問其桌面。

威脅要釋出受害者的資料

除了已證明的更改使用者憑據的宣告外，攻擊者還更改了贖金記錄以宣告受害者的資料已複製到安全位置。

然後，他們威脅說，如果受害者不支付贖金，則將這些資料公開。

“我們還將您的資料下載到了安全的位置。不幸的是，如果我們未達成協議，我們別無選擇，只能將這些資料公開。

一旦交易完成，我們將下載的所有資料副本將被儲存。已刪除。”

尚不確定攻擊者是否確實複製了受害者的檔案，但是不應消除這種威脅，受害者的受害者可能希望確認攻擊者與他們進行通訊時確實擁有他們所說的檔案。

但是，如果MegaCortex製作者實際上正在複製資料，受害者現在將不得不將這些攻擊視為未來的資料洩露（如果是巨頭大公司可想而知），而不僅僅是勒索軟體感染。

這最終將為這些型別的攻擊增加一層全新的複雜性和風險。