По наблюдениям экспертов, в середине октября эксплойт-пак Magnitude сменил целевую полезную нагрузку и теперь доставляет Magniber — новое вымогательское ПО, унаследовавшее список шифруемых файлов и сайт для приема платежей от грозного Cerber. Хорошая новость: информацию, заблокированную Magniber, можно расшифровать без выкупа.

По имеющимся данным, Magnitude до недавних пор являлся неотъемлемым элементом схемы распространения Cerber. Последняя Cerber-кампания с участием этого набора эксплойтов была зафиксирована в начале сентября, и вскоре эта вредоносная активность утихла. Очередной «подарок» от Magnitude был обнаружен 16 октября; по результатам анализа новому вымогателю было присвоено имя Magniber (Magnitude+Cerber), хотя по коду он отличен от своего именитого предшественника.

Как оказалось, для привлечения трафика на ресурсы Magnitude текущая кампания использует вредоносную рекламу, ориентированную на жителей Южной Кореи. Доставка Magniber осуществляется через эксплойт уязвимости в Internet Explorer.

При первом запуске новоявленный шифровальщик проверяет язык, который использовался при установке Windows. Если это корейский язык, Magniber приступает к генерации ID и шифрованию файлов, если нет — завершает свой процесс. При поиске данных, пригодных для шифрования, зловред обходит стороной ключевые файлы, необходимые для работы системы и браузеров (включая Tor). Зашифрованным файлам присваивается расширение .ihsdj или .kgpvwnr (эксперты полагают, что это идентификатор кампании, и в дальнейшем эти расширения могут меняться).

Параллельно Magniber создает текстовый файл с требованием выкупа (на момент тестирования он составлял 0,2 биткойна с удвоением суммы через пять дней), который помещает во все папки с зашифрованными файлами.

Способ регистрации жертв на onion-сайте, позаимствованном у Cerber, необычен. Прежние шифровальщики при первом запуске создавали уникальный ID, который плательщик должен был ввести на отдельной странице сайта злоумышленников. Magniber использует несколько иной подход: в сообщении, которое отображается жертве, он приводит ссылку на поддомен, используя в качестве части имени уникальный идентификатор.

Примечательно, что сайт, используемый распространителями Magniber для фиксации платежей, содержит страницу техподдержки с контактной формой для связи с вирусописателем. На отдельной странице можно бесплатно подать один файл для пробной расшифровки. Работает ли эта функция, неизвестно.

Возможность расшифровки всех файлов без уплаты выкупа уже имеется, и эксперты не советуют уступать требованиям злоумышленников. Рекомендации по защите от атак Magniber не содержат ничего нового: регулярно создавать резервные копии, вовремя обновлять наличное ПО, использовать антивирус, не открывать вложения в письма от незнакомцев, использовать сильные пароли и не дублировать их на разных сайтах.

Категории: Аналитика, Вредоносные программы