安全人员发现新式勒索病毒感染暴增,主要通过色情网站广告位传播 - 果核剥壳

Magniber 是一种利用 IE 漏洞的无文件勒索病毒,它此前对众多韩国用户造成严重损害。如果相关安全部门无法在漏洞发生初期发现并加以阻断,则很难防止其进一步感染,这使得安全软件难以检测。

Magniber 勒索软件自 2021 年 3 月 15 日以来使用 CVE-2021-26411 漏洞进行分发,直到最近被发现改为 CVE-2021-40444 漏洞。

值得一提的是,这是 9 月 14 日微软推送安全补丁后的最新漏洞,目前大部分用户都有被感染的风险。(仅在 Win10/Win11 环境中发生变化,其他环境中仍在利用 CVE-2021-26411)。

现有安全人员发现,Magniber 勒索病毒近期攻击事件频发,全国多地都有网民受到影响。

360 安全人员透露,该勒索病毒利用 CVE-2021-40444 漏洞进行传播,还使用 PrintNightmare 漏洞进行提权,危害程度更甚以往。根据分析,该病毒主要通过色情网站的广告位传播。

自 11 月 5 日开始,他们便收到了大量感染 Magniber 勒索病毒的求助,同时检测到 CVE-2021-40444 漏洞攻击拦截量有较明显上涨。经分析追踪发现,这是一起挂马攻击团伙,从使用的技术、攻击手法可以看出,这也是一个技术精良的黑客组织,同时由于此次挂马网站主要面向国内,对普通网民都有重大影响。

安全人员表示,该黑客团伙主要通过在色情网站(也存在少部分其它网站)的广告位上,投放植入带有攻击代码的广告,当用户访问到该广告页面时,就有可能中招,感染勒索病毒。

据悉,漏洞出现时,该勒索病毒会在下图路径中创建一个名为 calc.inf 的文件。Magniber 勒索软件随后由一个名为 control.exe 的普通 Windows 进程加载。

  • 2021/09/16:%SystemDrive%:\Users\%UserName%\AppData\Local\Temp\Low\calc.inf

  • 2021/09/17:%SystemDrive%:\Users\%UserName%\AppData\Local\Temp\Low\winsta.inf

下图展示了漏洞发生时 iexplore.exe->control.exe 形式的调用过程以及 calc.inf 文件的操作过程。

安全人员发现新式勒索病毒感染暴增,主要通过色情网站广告位传播

下图显示了文件名为 calc.inf 的 Magniber 的分布是在 2021 年 9 月 16 日 09:00 之后开始的,V3 检测日志大约有 300 个案例。

安全人员发现新式勒索病毒感染暴增,主要通过色情网站广告位传播

受影响的操作系统

Windows 8.1、RT 8.1

Windows 10:1607、1809、1909、2004、20H2、21H1

Windows Server 2008 SP 2、2008 R2 SP 1

Windows Server 2012、2012 R2

Windows Server 2016、2019、2022

Windows Server 2004、20H2 版

@问舟

如果您喜欢本站,点击这儿不花一分钱捐赠本站

这些信息可能会帮助到你: 下载帮助 | 报毒说明 | 进站必看

修改版本安卓软件,加群提示为修改者自留,非本站信息,注意鉴别

(5)
上一篇 2021年11月11日 下午1:08
下一篇 2021年11月11日 下午11:36

相关推荐

发表回复

评论问题之前,点击我,能帮你解决大部分问题

您的电子邮箱地址不会被公开。 必填项已用*标注

评论列表(7条)

  • fish8boy
    fish8boy 2021年11月14日 下午4:23
    Google Chrome 95.0.4621.0 Google Chrome 95.0.4621.0 Windows 7 x64 Edition Windows 7 x64 Edition

    最近研究发现,从业安全人员数量剧增,主要就去发现色情网站里的不良信息。

  • 15007944424
    丿英雄灬剑明 2021年11月12日 上午11:52
    Google Chrome 86.0.4240.198 Google Chrome 86.0.4240.198 Windows 10 x64 Edition Windows 10 x64 Edition

    看来我WIN7裸奔是有原因的

  • 1822209217
    Mq aka233 2021年11月12日 上午10:22
    Google Chrome 86.0.4240.198 Google Chrome 86.0.4240.198 Windows XP Windows XP

    老电脑啥也不支持,连病毒也不支持

    • Rose
      Rose 2021年11月14日 下午4:23
      Firefox 91.0 Firefox 91.0 Windows 10 x64 Edition Windows 10 x64 Edition

      很多老的勒索病毒 win7 是重灾区

  • 21h2
    21h2 2021年11月12日 上午10:03
    Google Chrome 80.0.3987.163 Google Chrome 80.0.3987.163 Windows 10 x64 Edition Windows 10 x64 Edition

    竟然没有WIN7 落后的幸存者

  • cleanery
    c8n 2021年11月12日 上午9:42
    Microsoft Edge 95.0.1020.44 Microsoft Edge 95.0.1020.44 Windows 10 x64 Edition Windows 10 x64 Edition

    有浏览器广告拦截插件好很多.

  • AdiosYini
    AdiosYini 2021年11月12日 上午9:04
    Google Chrome 80.0.3987.163 Google Chrome 80.0.3987.163 Windows 10 x64 Edition Windows 10 x64 Edition

    论广告拦截的重要性。