新型勒索病毒私密檔案公開化，加密鎖屏改密碼

新型勒索病毒：私密檔案公開化，加密鎖屏改密碼

海外第三方資料樣本的監測，捕獲到勒索病毒megacortex新型變種。該家族樣本最早出現在今年1月份，並對國外多個行業發起勒索攻擊行為。

該變種相對以往所遇到的勒索病毒，在勒索手法上更為激進：不但加密使用者檔案，還會進一步修改windwos登入密碼，並在加密完畢後進行鎖屏，更進一步還會威脅受害者，若不繳納贖金則將主機上的檔案公開。

一、megacortex家族

megacortex勒索病毒是國外較活躍的勒索家族，最初於今年1月份在virustotal平台上被安全研究員發現，並不斷對國外多個行業進行加密勒索攻擊，包括有美國、加拿大、法國和荷蘭等。下圖是megacortex勒索病毒演進的時間軸：

二、megacortex變種行為分析

該變種攜帶澳大利亞「mursa pty ltd」公司的數字簽名，執行後會在c:\windows\temp路徑下釋放qibfmqkem5-0.cmd、qibfmqkem5-1.cmd、qibfmqkem5-2.cmd、m5-990831122.dll和m5-685889264.dll檔案。

lqibfmqkem5-2.cmd，用於刪除磁碟卷影

lm5-990831122.dll，用於遍歷磁碟檔案

lm5-685889264.dll，用於加密磁碟檔案，加密字尾名為.m3g4c0rtx

在加密完後進行鎖屏，並且修改了使用者登入密碼：

lcmdline:』net user win oo/yufojogftn2kh』

三、安全建議解決方案

針對已經出現勒索現象的使用者，由於暫時沒有解密工具，建議盡快對感染主機進行斷網隔離。提醒廣大使用者盡快做好病毒檢測與防禦措施，防範該病毒家族的勒索攻擊。

新型勒索病毒 私密檔案公開化，加密鎖屏改密碼