Magniber 勒索软件通过 JavaScript 文件感染 Windows 用户

Bleeping Computer 网站透露，Magniber 勒索软件的运营商于 9 月初创建了一个宣传网站，宣传 Windows 10 的虚假安全更新文件。一旦用户下载包含 JavaScript 的恶意文件（ZIP 存档），这些文件就会被勒索软件加密。据惠普公司威胁情报团队称，Magniber勒索软件运营商要求受害者用户支付高达 2,500 美元才能获取解密工具并恢复其文件。在一份报告中。

【濒危Windows版本】

2022年1月，Magniber运营商主要利用Chrome和Edge浏览器的安全更新推送恶意Windows应用程序包文件（.APPX）。

Magniber使用新的感染链

过去，Magniber通信活动背后的操作者主要使用MSI和EXE文件。他们最近改用以下名称的 JavaScript 文件：

关键系统升级

win10.0.ba45BD8E8E89B1.JS

系统安全数据库升级

win10.0.JSe

防病毒

_升级_云.29229c7696d2d84.jse

报警系统软件升级

392fdad9ebab262cc97f832c40e6ad2c.js

这些文件晦涩难懂，并使用“DotNetToJScript”技术的变体来. NET 文件存在于系统内存中，这会增加被主机上的防病毒产品发现的风险。

.NET 文件解密使用其自己的包装器进行神秘系统调用的 shellcode，并在终止新进程之前将其自己的 shellcode 注入到新进程中。

shellcode 通过 WMI 删除卷影副本文件，并通过“bcdedit”和“wbadmin”禁用备份和恢复功能。这使得受害者恢复文件的选择更少，从而增加了攻击者获得报酬的机会。

为了执行此操作，Magniber绕过了 Windows 中的用户帐户控制 (UAC) 功能。它基于一种创建新注册表项的机制，该注册表项允许指定 shell 命令。

在后面的步骤中，将运行实用程序“fodhelper.exe”来运行用于删除卷影副本的脚本。

【UAC绕过】

最后，Magniber对主机上的文件进行加密，并删除勒索字条，并指示受害者恢复文件。

【Magniber的新感染链（HP）】

HP 分析师注意到，尽管Magniber试图将加密限制为特定文件类型，但在枚举过程中生成的伪哈希并不完美。它们会导致哈希冲突和“附带损害”（即非目标文件类型也被加密）。

用户可以通过定期备份文件并将其存储在离线存储设备上来防御勒索软件攻击，以便数据可以恢复到新安装的操作系统，请注意，恢复数据之前，用户应确保备份没有被感染。

参考文章：

https://www.bleepingcomputer.com/news/security/ magniber-勒索软件-现在通过-javascript-文件感染-windows-用户/