Magniber — это новый шифровальщик. Данный вымогатель распространяется посредством экслплоита Magnitude, который, как представляется, является преемником Cerber Ransomware. Хотя многие аспекты Magnec Ransomware отличаются от Cerber, платежная система и файлы, которые она шифрует, очень похожи.
Magniber был впервые обнаружен исследователем безопасности Майклом Гиллеспи. Затем, 16 октября, исследователи безопасности Кафейне, Джозеф Чен и malc0de обнаружили, что набор эксплойтов Magnitude, который ранее был последним дистрибьютором Cerber, начал распространять новое вымогательство, которое специально предназначалось для южнокорейских жертв.
Magniber (Magnitude + Cerber)
Многие люди, включая меня, проанализировали этот выкуп. Я хотел бы поблагодарить Фабиана Восара, Джека, Джозефа Чена, Kafeine, malc0de и Michael Gillespie за их вклад в эту статью.
Кафейн и Джозеф Чен обнаружили, что Magniber распространяется через недооценки, отображаемые набором эксплойтов Magnitude, специально предназначенных для пользователей из Южной Кореи. В отчете Trend Micro исследователь Джозеф Чен объясняет, как в настоящее время набор эксплойтов Magnitude сосредоточен на жертвах в Южной Корее.
Используя злоумышленники на веб-сайтах, принадлежащих злоумышленникам, эксплойт-набор пытается использовать уязвимость в Internet Explorer для установки средства RenderMaker. Вот почему так важно для всех пользователей убедиться, что они устанавливают доступные обновления безопасности для программ, которые они установили на своем компьютере.
Малберчер успеха в Цербер?
В то время как жертвы все еще отправляют отчеты в ID-Ransomware, с середины сентября Cerber почти замолчал, не проводив крупных рекламных кампаний. Затем Кафейн отметил, что комплект эксплойта Magnitude был последним дистрибьютором, которого он знал для Cerber, который также прекратил распространение в сентябре.
Неожиданно Magnitude, последний известный дистрибьютор Cerber, начинает раздавать еще одно вымогательство, которое имеет тот же самый сайт оплаты, что и Cerber. Хотя это не означает, что Magniber использует одну и ту же базовую базу кода, которая, как мне кажется, не верна, возможно, что платежная система была перенесена на Magniber.
Домашняя страница моего дешифратора Часть 2
Magnifier Decryptor
Уникальной особенностью шифровальщика Magniber является то, как пользователь входит в сайт оплаты TOR. Обычно вымогательство будет создавать уникальный идентификатор жертвы для жертвы, когда сначала будет запускаться ransomware. Этот идентификатор жертвы затем добавляется в примечание о выкупе, а жертва должна использовать его для входа на свою страницу платежей на сайте ТЗ.
Magniber делает это несколько иначе. Вместо того, чтобы войти в систему с идентификатором пользователя, они используют идентификатор в качестве поддомена на сайте ТЗ. Например, примечание о выкупе может содержать ссылку http://ava10ib3t21s1xfc4p6.bankme.date/ на сайт оплаты TOR. В этом URL-адресе поддомен ava10ib3t21s1xfc4p6 является идентификатором жертвы.
Процесс шифрования Magniber
При первом запуске malc0de обнаружил, что Magniber проверяет язык, используемый при установке Windows. Если это не корейский язык, он завершит процесс, а не зашифрует компьютер. С другой стороны, если он является корейским, он будет генерировать уникальный идентификатор жертвы, который будет использоваться в примечаниях о выкупе и при доступе к сайту оплаты TOR, как описано выше
Затем вирус-вымогатель начнет шифровать данные на компьютере, ища типы файлов, которые имеют определенные расширения файлов. Текущий список целевых расширений указан в конце этой статьи.
Когда он встречает целевой тип файла, он зашифрует файл и добавит расширение к имени зашифрованного файла. Мы использовали два разных расширения в зависимости от исполняемого файла, который был проанализирован, поэтому он может быть изменен с каждой рекламной кампанией или филиалом. В это время мы видим, что используются расширения .ihsdj и .kgpvwnr.