04/05/22
Злоумышленники рассылают поддельные обновления для Windows 10 с целью заражения компьютеров пользователей вымогательским ПО Magniber. Как сообщает BleepingComputer, вредоносная кампания началась 8 апреля 2022 года, а ее жертвами стали пользователи по всему миру.
Поддельные накопительные обновления или обновления безопасности распространяются под разными именами, но чаще всего как Win10.0_System_Upgrade_Software.msi и Security_Upgrade_Software_Win10.0.msi. Кроме того, подделки рассылаются под именами:
System.Upgrade.Win10.0-KB47287134.msi
System.Upgrade.Win10.0-KB82260712.msi
System.Upgrade.Win10.0-KB18062410.msi
System.Upgrade.Win10.0-KB66846525.msi
Вредоносные обновления распространяются через пиратские сайты, предлагающие ключи активации для ПО. Каким образом потенциальные жертвы заманиваются на вредоносные страницы, неизвестно.
После установки на атакуемой системе Magniber удаляет теневые копии томов и шифрует файлы. В процессе шифрования вымогатель добавляет к ним расширение в виде произвольного набора из восьми букв, например, .gtearevf.
Далее создается файл README.html с запиской о требовании выкупа. В каждой папке содержатся инструкции, как получить доступ к сайту в сети Tor, где можно заплатить выкуп. Сайт My Decryptor позволяет жертвам расшифровать один файл бесплатно, связаться с «техподдержкой», а также выяснить сумму выкупа и биткойн-адрес, на который его нужно перевести. Чаще всего сумма выкупа составляет около $2,5 тыс.
Magniber в основном атакует не предприятия, а студентов и рядовых пользователей. В настоящее время способов восстановления зашифрованных им файлов без уплаты выкупа не существует.
