Вирус Magniber распространяется в виде обновления для Microsoft Edge и Google Chrome, шифрует данные на дисках

Magniber - это программа-вымогатель, которая распространяется в Сети уже довольно долгое время и использует уязвимости времен Internet Explorer. Однако специалисты Южно-Корейского центра экстренного реагирования и безопасности AhnLab (Security Emergency Response Center, ASEC) обнаружили, что Magniber теперь также распространяется под видом обычного обновления для браузеров Microsoft Edge и Google Chrome.

Magniber попадает на компьютер под видом обновления и скачивается в форме файла .appx с валидным сертификатом. То есть, Windows считает такой файл полностью безопасным и автоматически запускает его установку. Сразу после инсталляции .appx пакета создаются два файла — wjoiyyxzllm.dll и wjoiyyxzllm.exe — которые хранятся в незашифрованной области системного диска по пути C:\Progam Files\WindowsApps. Для справки: в этой защищенной папке хранятся приложения, скачанные из магазина Microsoft Store.

Исполняемый файл wjoiyyxzllm.exe загружает wjoiyyxzllm.dll и вызывает функцию со странным названием "mbenooj". В свою очередь DLL-файл загружает рабочую часть вируса и декодирует ее. Сразу после этого Magniber запускается из области памяти, выделенной для процесса wjoiyyxzllm.exe и начинает шифровать все пользовательские данные на дисках. Далее на экране отображается требование об отправке денежного вознаграждения за дешифровку файлов.

В отличие от многих вирусов-вымогателей, Magniber не крадет файлы, но на данный момент рабочего способа самостоятельной дешифровки файлов нет - придется платить деньги (хотя никакой гарантии, что злоумышленники действительно предоставят ключ дешифровки нет).

Соответственно, теперь пользователям стоит быть внимательнее буквально ко всем скачиваемым файлам из Сети - даже пакетам .appx с валидным сертификатом. Мы также советуем резервировать всю критически-важную информацию в облако или на портативный носитель.