新版FTCode勒索软件添增凭证窃取功能，重启电脑时就会自动执行

云端安全业者Zscaler于上周警告，自2013年就现身的勒索软件FTCode在最新的版本中添增了凭证窃取功能，会在加密受害者档案之前，先自各大浏览器及电子邮件客户端程序窃取 络服务的登入凭证。

根据Zscaler威胁情 团队ThreatLabZ的说明，他们曾经分析从1001.7到1117.1的FTCode版本，而在最新的FTCode 1117.1中，黑客变更了入侵受害者系统的方式，另外也添增了凭证窃取功能。

FTCode初期是透过夹带恶意巨集文件的电子邮件入侵使用者电脑，而最近的FTCode版本则是在邮件中提供一个VB连结，一旦使用者执行了该VB，就会启动PowerShell脚本程序，表面上是下载了一个图档，但其实是在背后下载并执行勒索软件。

该恶意程式还会在系统的启动文件夹中建立一个捷径，以于每次重启电脑时自动执行，它会搜索所有可用空间大于50KB的磁盘，然后加密这些磁盘中的档案。

最新的FTCode 1117.1还有凭证窃取功能，可用来窃取存放在IE、Firefox或Chrome中的 络服务凭证，也会窃取Thunderbird及Outlook等电子邮件客户端的凭证。