Bleeping Computer 网站披露,9 月初,Magniber 勒索软件运营商创建了宣传网站,力推 Windows 10 虚假的安全更新文件,一旦用户下载了包含 JavaScript 的恶意文件(ZIP档案),其文件就会遭到勒索软件加密。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html
文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html
惠普公司威胁情报团队在一份报告中指出,Magniber 勒索软件运营商要求受害用户支付高达 2500 美元的费用,以获得解密工具并恢复其文件。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html
文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html
【受威胁的Windows版本】文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html
2022 年 1 月,Magniber 运营商主要使用 Chrome 和 Edge 浏览器的安全更新来推送恶意 Windows 应用程序包文件(.APPX)。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.htmlMagniber 使用新的感染链
以往 Magniber传播活动中,背后运营商主要使用 MSI 和 EXE 文件,最近则改用了 JavaScript 文件,名称如下:
系统关键升级文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html
Win10.0.ba45bd8ee89b1.js文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html
系统安全数据库升级文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html
Win10.0.jse文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html
抗病毒文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html
_Upgrade_Cloud.29229c7696d2d84.jse文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html
警报系统软件升级文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html
392fdad9ebab262cc97f832c40e6ad2c.js文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html
这些文件经过混淆处理,使用 "DotNetToJScript "技术变种,在系统内存中执行.NET 文件,可以很好降低被主机上防病毒产品发现的风险。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html
.NET文件对使用自身包装器进行隐秘系统调用的 shellcode 代码进行解码,并在终止自己的 shellcode 代码之前将其注入新进程。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html
shellcode 代码通过 WMI 删除卷影副本文件,并通过 “bcdedit” 和 “wbadmin” 禁用备份和恢复功能。这样的话,受害者恢复其文件的选项就会变得很少,增加了攻击者获得报酬的机会,文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html
为了执行这一操作,Magniber 使用 Windows 中用户账户控制(UAC)功能的旁路。它依赖于一种机制,该机制涉及创建允许指定 shell 命令的新注册表项。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html
在后面的步骤中,将执行“fodhelper.exe”实用程序来运行用于删除卷影副本的脚本。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html
文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html
【UAC绕过程序】文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html
最后,Magniber 对主机上的文件进行加密,并删除包含受害者恢复文件指示的赎金说明。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html
文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html
【Magniber 的新感染链(HP)】文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html
惠普的分析师注意到,虽然 Magniber 试图将加密只限于特定的文件类型,但在枚举过程中生成的伪哈希并不完美,会导致哈希碰撞和 "附带损害"(即也会加密非目标的文件类型)。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html
用户可以通过定期备份文件并将其保存在一个离线存储设备上来防御勒索软件攻击,这样可以将数据恢复到一个新安装的操作系统上。注意,在恢复数据之前,用户应确保其备份未被感染。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html
参考文章:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html
https://www.bleepingcomputer.com/news/security/magniber-ransomware-now-infects-windows-users-via-javascript-files/文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/28483.html