火绒安全软件

火绒安全播报
发新帖
打印 上一主题 下一主题

勒索病毒Magniber新变种出现,火绒安全可查杀

[复制链接]
3111 4
楼主
发表于 2022-8-3 16:30:24 | 只看该作者 |只看大图 |倒序浏览 |阅读模式
跳转到指定楼层
近期,火绒安全截获到Magniber勒索病毒最新变种,其病毒文件名会伪装成杀毒软件更新程序,并以控制面板组件动态库(.cpl)的形式传播,手段非常具有欺骗性。Magniber主要通过仿冒网站、色情网站广告弹窗等网站页面传播。火绒安全软件最新版本可成功查杀Magniber勒索病毒及新变种。
火绒安全勒索病毒查杀图

Magniber病毒的勒索信如下图所示:

勒索信内容

被勒索后,需要支付0.12比特币(目前大概18543人民币),相关暗网支付页面,如下图所示:

暗网支付页面

根据“火绒威胁情报系统”监测,从7月下旬开始,Magniber新变种异常活跃,传播趋势如下图所示:

近期Magniber新变种传播趋势图

从Magniber新变种在国内各省份的感染量上看,暂时台湾和香港感染量较多,广东的感染量虽然排名第三,但与台湾、香港相比相差较多。根据Magniber病毒活跃的历史趋势看,现在仍处于其新一轮传播的初期阶段,依然存在在国内其他省份大范围传播的可能性。

近期Magniber新变种各省感染情况一览

Magniber勒索病毒历史上一共出现过两次变种。第一次为2021年11月份利用CVE-2021-40444和PrintNightmare漏洞传播,第二次变种是2022年5月伪装成Windows更新程序(.msi)传播。根据以往的传播趋势来看,该病毒后续的传播量还会持续上升。

Magniber勒索病毒活跃趋势图

据最新发布的《火绒安全终端防护数据报告(2022上半年)》结果显示,今年1-6月间,火绒安全技术团队处理的个人用户被勒索事件中,Magniber数量占比最高,达29%。


火绒安全团队提醒广大用户,及时更新病毒库,做好自查防护,定期备份重要数据,谨防各类勒索病毒侵袭。


详细分析
病毒行为
病毒启动后首先会进行自解密,相关代码如下图所示:

代码自解密

解密后会将带有勒索功能的shellcode注入到进程名大于6字节并且非WOW64的进程中(如:sihost.exe),相关代码,如下图所示:

注入shellcode

加密算法分析
Magniber勒索病毒通过AES-128加密算法(对称加密)对文件进行加密,并且通过RSA-2048加密算法(非对称加密)来对AES算法的密钥进行加密,相关加密逻辑代码,如下图所示:

生成AES-128算法的密钥

使用AES-128算法对文件进行加密,相关代码,如下图所示:

AES-128算法加密文件数据

将AES-128算法的密钥进行RSA-2048算法进行加密,相关代码,如下图所示:

对AES-128算法的密钥进行RSA-2048加密


附录
病毒HASH:


回复

使用道具 举报

3111 4
沙发
发表于 2022-8-3 17:12:29 | 只看该作者
火绒对这里的实时监控有BUG 别忘了解决
回复

使用道具 举报

3111 4
板凳
发表于 2022-8-3 17:29:39 | 只看该作者
纷扰的互联网 发表于 2022-8-3 17:12
火绒对这里的实时监控有BUG 别忘了解决

您好,最新版5.0.69.4版本,已经解决啦~
您可以测试后进行反馈~
回复

使用道具 举报

3111 4
地板
发表于 2022-8-4 10:47:13 | 只看该作者
火绒运营专员 发表于 2022-8-3 17:29
您好,最新版5.0.64.4版本,已经解决啦~
您可以测试后进行反馈~

5.0.69.4吧。。。

点评

是的,已修正。  发表于 2022-8-4 10:56
回复

使用道具 举报

您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

快速回复 返回顶部 返回列表