Программа-вымогатель Magniber постоянно распространяется в больших объемах. В течение последних нескольких лет она распространялась через уязвимость IE (Internet Explorer), но после прекращения поддержки браузера перестала ее использовать. В последнее время вымогатель распространяется с именами файлов, замаскированных под пакет обновлений безопасности Windows (например, ERROR.Center.Security.msi) в браузерах Edge и Chrome. В настоящее время Magniber внедряет ransomware в запущенный процесс, в результате чего этот процесс наносит ущерб, шифруя файлы пользователя.
Magniber распространяется под видом пакета обновлений безопасности с именем файла "ERROR.Center.Security.msi". После выполнения он внедряет в запущенный процесс код ransomware для шифрования файлов. После этого он добавляет команду в планировщик заданий для сохранения и удаляет теневые копии томов для невозможности восстановления.
В настоящее время Magniber распространяется методом typosquatting, использующим опечатки при вводе доменов, и ориентирован на пользователей Chrome и Edge с последней версией Windows.
Indicators of Compromise
URLs
- http://146.19.106.31/ceggfnhm.msi
MD5
- f5dd30f503577071499a241532479279