查看: 972|回复: 15
收起左侧

[分析报告] 勒索病毒Magniber新变种出现,火绒安全可查杀

[复制链接]
火绒工程师
发表于 6 天前 | 显示全部楼层 |阅读模式
近期,火绒安全截获到Magniber勒索病毒最新变种,其病毒文件名会伪装成杀毒软件更新程序,并以控制面板组件动态库(.cpl)的形式传播,手段非常具有欺骗性。Magniber主要通过仿冒网站、色情网站广告弹窗等网站页面传播。火绒安全软件最新版本可成功查杀Magniber勒索病毒及新变种。
火绒安勒索病毒查杀图
Magniber病毒的勒索信如下图所示:
勒索信内容
被勒索后,需要支付0.12比特币(目前大概18543人民币),相关暗网支付页面,如下图所示:
暗网支付页面
根据“火绒威胁情报系统”监测,从7月下旬开始,Magniber新变种异常活跃,传播趋势如下图所示:
近期Magniber新变种传播趋势图
从Magniber新变种在国内各省份的感染量上看,暂时台湾和香港感染量较多,广东的感染量虽然排名第三,但与台湾、香港相比相差较多。根据Magniber病毒活跃的历史趋势看,现在仍处于其新一轮传播的初期阶段,依然存在在国内其他省份大范围传播的可能性。
近期Magniber新变种各省感染情况一览
Magniber勒索病毒历史上一共出现过两次变种。第一次为2021年11月份利用CVE-2021-40444和PrintNightmare漏洞传播,第二次变种是2022年5月伪装成Windows更新程序(.msi)传播。根据以往的传播趋势来看,该病毒后续的传播量还会持续上升。
Magniber勒索病毒活跃趋势图
据最新发布的《火绒安全终端防护数据报告(2022上半年)》结果显示,今年1-6月间,火绒安全技术团队处理的个人用户被勒索事件中,Magniber数量占比最高,达29%。
火绒安全团队提醒广大用户,及时更新病毒库,做好自查防护,定期备份重要数据,谨防各类勒索病毒侵袭。
详细分析病毒行为
病毒启动后首先会进行自解密,相关代码如下图所示:
代码自解密
解密后会将带有勒索功能的shellcode注入到进程名大于6字节并且非WOW64的进程中(如:sihost.exe),相关代码,如下图所示:
注入shellcode
加密算法分析
Magniber勒索病毒通过AES-128加密算法(对称加密)对文件进行加密,并且通过RSA-2048加密算法(非对称加密)来对AES算法的密钥进行加密,相关加密逻辑代码,如下图所示:
生成AES-128算法的密钥
使用AES-128算法对文件进行加密,相关代码,如下图所示:
AES-128算法加密文件数据
将AES-128算法的密钥进行RSA-2048算法进行加密,相关代码,如下图所示:
对AES-128算法的密钥进行RSA-2048加密
附录
病毒HASH:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +3 收起 理由
anthonyqian + 3 版区有你更精彩: )

查看全部评分

lvseqiji
发表于 6 天前 | 显示全部楼层
火绒为了性能牺牲太大了,之前监控漏msi格式,然后监控又漏cpi格式
00006666
发表于 6 天前 | 显示全部楼层
火绒现在主防能拦住这种家族样本的注入行为不?靠扫描查杀万一下次又换个扩展名可能还是防不住……

评分

参与人数 1人气 +2 收起 理由
wjy19800315 + 2 云你知道的太多了!

查看全部评分

swizzer
发表于 6 天前 | 显示全部楼层
监控漏毒还好意思拿出来宣传吗

评分

参与人数 1人气 +1 收起 理由
wwwab + 1 有人用企业版双击 修bug最快的一次

查看全部评分

1094947421
发表于 6 天前 | 显示全部楼层
火绒安全团队提醒广大用户,“及时更新病毒库”,做好自查防护,定期备份重要数据,谨防各类勒索病毒侵袭。
UNknownOoo
发表于 6 天前 | 显示全部楼层
lvseqiji 发表于 2022-8-3 16:49
火绒为了性能牺牲太大了,之前监控漏msi格式,然后监控又漏cpi格式

其实..火绒的占用似乎和360差不多(甚至在某些特殊场景下比360大
1094947421
发表于 6 天前 | 显示全部楼层
UNknownOoo 发表于 2022-8-3 17:37
其实..火绒的占用似乎和360差不多(甚至在某些特殊场景下比360大

个人版就是测试版,新的监控占内存很多。


不过,企业版还是老版本的监控,占用很低。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
wwwab
发表于 6 天前 | 显示全部楼层
swizzer 发表于 2022-8-3 17:28
监控漏毒还好意思拿出来宣传吗

好像修了,今天紧急从5.0.69.3升级到了5.0.69.4
wwwab
发表于 6 天前 | 显示全部楼层
00006666 发表于 2022-8-3 16:51
火绒现在主防能拦住这种家族样本的注入行为不?靠扫描查杀万一下次又换个扩展名可能还是防不住……
您好,该类样本目前无法监控其注入行为,因此目前以查杀为主,暂不支持运行后拦截,感谢您的反馈
火绒:只要扫描通杀,文件实时监控bug修了就行了
UNknownOoo
发表于 6 天前 | 显示全部楼层
wwwab 发表于 2022-8-3 17:48
火绒:只要扫描通杀,文件实时监控bug修了就行了

感觉火绒和智量结合就很好了awa
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-8-9 13:35 , Processed in 0.127398 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表