 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
24 апреля, среда, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Гроза Южной Кореи начал также атаковать Windows, в настройках которых указан китайский или малайский язык.
Исследователи обнаружили, что Magniber, до сих пор атаковавший только корейцев, начал шифровать файлы также на тех ПК Windows, в настройках которых указан китайский или малайский язык.
Шифровальщик Magniber появился на радарах специалистов по ИБ в середине сентября прошлого года. На машины жертв зловред загружался с помощью эксплойт-пака Magnitude, который до этого долгое время доставлял другое вымогательское ПО — Cerber.
Анализ первых образцов Magniber показал, что при запуске эта вредоносная программа прежде всего проверяет языковые настройки Windows и приступает к шифрованию лишь в тех случаях, когда при установке ОС выбран корейский язык. Новоявленный вымогатель также, видимо, применял фильтрацию IP-адресов, так как файлы шифровались лишь на машинах, прописанных в Южной Корее.
Первыми перемену в поведении Magniber заметили наблюдатели из команды MalwareHunter. Пятого июля они сообщили в Twitter о новых жертвах заражения — на Тайване, в Гонконге и других уголках региона. После анализа новых образцов в Malwarebytes подтвердили соответствующие изменения в коде, отметив также повышение его качества.
Согласно экспертному заключению, обновленный зловред использует разные методы обфускации, а при шифровании больше не использует вшитый ключ AES и не запрашивает его на командном сервере. Вместо этого Magniber создает уникальный ключ для каждого файла (предположительно — по алгоритму AES в режиме CBC) и шифрует эти ключи публичным RSA, прописанным в коде. Зашифрованные файлы можно идентифицировать по дополнительному расширению .dyaaghemy.
Оплату ключа расшифровки операторы Magniber по-прежнему принимают в биткойнах, приглашая жертву на onion-сайт. Бесплатный декриптор для новой итерации зловреда пока не создан.
В заключение стоит отметить, что набор эксплойтов Magnitude, с помощью которого распространяется Magniber, тоже недавно получил обновление: его арсенал пополнился уязвимостью CVE-2018-8174 в Internet Explorer, пропатченной в мае.
 |
нравится | не нравится |  |
Рейтинг: | 1 |
Всего голосов: 1 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
