Исследователи обнаружили, что Magniber, до сих пор атаковавший только корейцев, начал шифровать файлы также на тех ПК Windows, в настройках которых указан китайский или малайский язык.

Шифровальщик Magniber появился на радарах специалистов по ИБ в середине сентября прошлого года. На машины жертв зловред загружался с помощью эксплойт-пака Magnitude, который до этого долгое время доставлял другое вымогательское ПО — Cerber.

Анализ первых образцов Magniber показал, что при запуске эта вредоносная программа прежде всего проверяет языковые настройки Windows и приступает к шифрованию лишь в тех случаях, когда при установке ОС выбран корейский язык. Новоявленный вымогатель также, видимо, применял фильтрацию IP-адресов, так как файлы шифровались лишь на машинах, прописанных в Южной Корее.

Первыми перемену в поведении Magniber заметили наблюдатели из команды MalwareHunter. Пятого июля они сообщили в Twitter о новых жертвах заражения — на Тайване, в Гонконге и других уголках региона. После анализа новых образцов в Malwarebytes подтвердили соответствующие изменения в коде, отметив также повышение его качества.

Согласно экспертному заключению, обновленный зловред использует разные методы обфускации, а при шифровании больше не использует вшитый ключ AES и не запрашивает его на командном сервере. Вместо этого Magniber создает уникальный ключ для каждого файла (предположительно — по алгоритму AES в режиме CBC) и шифрует эти ключи публичным RSA, прописанным в коде. Зашифрованные файлы можно идентифицировать по дополнительному расширению .dyaaghemy.

Оплату ключа расшифровки операторы Magniber по-прежнему принимают в биткойнах, приглашая жертву на onion-сайт. Бесплатный декриптор для новой итерации зловреда пока не создан.

В заключение стоит отметить, что набор эксплойтов Magnitude, с помощью которого распространяется Magniber, тоже недавно получил обновление: его арсенал пополнился уязвимостью CVE-2018-8174 в Internet Explorer, пропатченной в мае.

Категории: Аналитика, Вредоносные программы