шкала интенсивности:  
  (99/100)

Удаление вируса Magniber (Руководство по удалению) - обновлено Сен 2018

от Alice Woods - - | Тип: Вымогательское ПО

Magniber — опасный вирус-вымогатель, который возвратился с более опасной версией, чтобы заразить пользователей Кореи

Сайт оплаты Magniber вируса

Magniber — опасный криптовирус, который появился впервые в октябре 2017 года. Его название происходит от двух слов: Magnitude (вымогатель распространялся с использованием набора эксплойтов Magnitude) и Cerber. Для блокировки данных вредоносная программа использует AES-128 и рекламное расширение файла, состоящее из 5-9 букв. Затем паразит требует выкупа 0,2 BTC, которые потом удваиваются до 0,4 BTC. Хотя южнокорейским исследователям кибербезопасности удалось создать дешифратор для большинства вариантов Magniber вируса, он вернулся сильнее в июле 2018 года с обновленными методами обмана. Хотя он предназначался исключительно для корейских пользователей, его спектр был расширен с возможностью шифрования файлов китайских и малайзийских жертв. Вымогатель добавляет расширение файла .dyaaghemy и, на момент написания являлся не дешифруемым.

ОПИСАНИЕ
Имя Magniber вымогатель
Type Криптовирус
Связан с Cerber вирусом
Используемый эксплойт набор эксплойтов Magnitude
Требуемая сума выкупа 0.2 BTC; после пяти дней 0.4BTC
Используемые расширения

.fprgbk; .ihsdj; .kgpvwnr; .vbdrj; .skvtb; .vpgvlkb; .dlenggrl; .dxjay; .fbuvkngy; .xhspythxn; .demffue; .mftzmxqo; .qmdjtc; .wmfxdqz; .ndpyhss, .dyaaghemy

Симптомы Зашифрованные файлы
Распространение Уязвимость CVE-2016-0189 в Internet Explorer
Устранение Загрузите и установите Reimage Reimage Cleaner Intego, SpyHunter 5Combo Cleaner или Malwarebytes. Перезагрузите ПК в безопасном режиме
Дешифратор Доступен тут (новейшие версии)и тут

Было обнаружено, что угроза кибер-угроза распространяется через набор эксплойтов Magnitude. Этот набор эксплойтов использовался Cerber вирусом. Однако это не единственное сходство с печально известным вымогателем.

Первоначально криптовирус предназначался только для южнокорейских пользователей. Теперь он замечен в других азиатских странах — Китае и Малайзии. Интересно, что вредоносное ПО убивает себя (удаляя свой исполняемый файл ping.exe), если оно обнаруживает других юзеров, кроме корейских, китайских или малазийских.

Криптовирус Magniber

Вредоносная программа использует AES-шифр. До конца марта 2018 года было почти невозможно расшифровать файлы без AES ключа. Однако южнокорейским специалистам по кибербезопасности удалось взломать код для большинства версий Magniber вымогателя.

Этот факт вызывает подозрение, что вредоносное ПО могли создать северокорейские хакеры. Такое предположение не является необоснованным с учетом кибер-возможностей этой страны Однако эта теория все еще нуждается в доказательствах.

Magniber вымогатель предназначен для шифрования файлов и вымогания оплаты выкупа. Вредоносная программа была обновлена несколько раз, и последние обновления были обнаружены в июне 2018 года. Эта версия добавляет расширение файла .ndpyhss и оставляет примечание о выкупе README.txt.

Каждый из новых вариантов добавляет другое расширение файла. В настоящее время вредоносное ПО блокирует файлы с этими суффиксами:

  • .fprgbk;
  • .ihsdj;
  • .kgpvwnr;
  • .vbdrj;
  • .skvtb;
  • .vpgvlkb;
  • .dlenggrl;
  • .dxjay;
  • .fbuvkngy;
  • .xhspythxn;
  • .demffue;
  • .mftzmxqo;
  • .qmdjtc;
  • .wmfxdqz;
  • .ndpyhss

После шифрования данных вредоносное ПО предлагает купить My Decryptor чтобы восстановить поврежденные файлы. На данный момент он стоит 0,2 биткоины (1140 долларов США). Через пять дней он удвоится до 0,4. Не выполняйте платеж, так как паразита можно расшифровать. Вместо этого сосредоточьтесь на удалении Magniber. Reimage Reimage Cleaner Intego или Malwarebytes — надежное программное обеспечение безопасности, которое может помочь с быстрым удалением вредоносных программ.

Magniber троянИзвестно, что Magniber вирус является последней версией Cerber. Он распространяется с помощью троянского коня

Предыдущие попытки взлома вредоносного кода

Симоне «evilsocket» Маргарителли, исследователю мобильной охранной компании Zimperium, удалось создать инструмент дешифрования, который мог бы помочь восстановить файлы после атаки Magniber. Однако, чтобы использовать его, жертвы должны знать ключ AES.

Согласно исследователю, дешифратор должен работать, если жертвы были заражены с некорейского IP-адреса или они не могут подключиться к Command & Control (C & C) серверу. Эти люди должны знать жесткий код и IV, которые должны быть включены в код вымогателя.

Команда экспертов по безопасности в Южной Корее выпустила новые дешифраторы

В конце марта 2018 года исследователи безопасности из AhnLab выпустили несколько дешифраторов для различных типов Magniber вируса. Инструмент восстановления работает на основе ошибки шифрования, которая была оставлена хакерами.

Ниже вы можете увидеть таблицу, в которой теперь можно расшифровать версии Magniber вымогателя:

Decrypter release date Recoverable file extension Victim Key Magniber payment site vector  Download Link
 3/30  kympzmzw  Jg5jU6J89CUf9C55  i9w97ywz50w59RQY MagniberDecrypt.zip
 3/30  owxpzylj  u4p819wh1464r6J9  mbfRHUlbKJJ7024P MagniberDecrypt.zip
 3/30  prueitfik  EV8n879gAC6080r6  Z123yA89q3m063V9 MagniberDecrypt.zip
 3/31 rwighmoz   BF16W5aDYzi751NB  B33hQK9E6Sc7P69B MagniberDecrypt.zip
 3/31  bnxzoucsx  E88SzQ33TRi0P9g6  Bo3AIJyWc7iuOp91 MagniberDecrypt.zip
 3/31  tzdbkjry n9p2n9Io32Br75pN  ir922Y7f83bb7G12  MagniberDecrypt.zip
 4/1  iuoqetgb  QEsN9KZXSp61P956 lM174P1e6J24bZt1  MagniberDecrypt.zip
 4/1 pgvuuryti   KHp4217jeDx019Uk  A4pTQ6886b401JR5 MagniberDecrypt.zip
 4/2  zpnjelt  LyAAS6Ovr647GO65  nS3A41k9pccn03J2 MagniberDecrypt.zip
 4/2  gnhnzhu  I0727788KuT5kAqL  sCnHApaa61l5U2R0 MagniberDecrypt.zip
 4/3  hssjfbd  u5f1d693LGkEgX07  kV35Z1K3JB7z6P06 MagniberDecrypt.zip
 4/3  ldolfoxwu  i24720y16f10qJ21  fX5U9Z6A2j8ZUvkO MagniberDecrypt.zip
 4/3  zskgavp  nuu9WO56Gc0N5hn7  ASY0d6dlyrEH6385 MagniberDecrypt.zip
 4/3  gwinpyizt  dcQOje3dzW469125  T5438Nl5VI62XxM8 MagniberDecrypt.zip

Эксперты по безопасности, похоже, выпускают новые версии через короткие промежутки времени. Таким образом, эта информация может быть устаревшей в ближайшее время. Чтобы проверить последние версии, зайдите на сайт AhnLab.

Magniber вирус

Аналогии Cerber и Magniber

Хотя он использует один и тот же сайт оплаты, его исходный код выглядит менее сложным, чем у Cerber. Поэтому он дает надежду на то, что вирус может быть расшифрован. После проникновения в систему вредоносная программа кодирует данные и добавляет .ihsdj или .kgpvwnr расширение. Кроме того, он откроет файл о выкупе, который называется READ_ME_FOR_DECRYPT_[id].txt.

Он содержит типичный текст, объясняющий, что все документы, фотографии и базы данных зашифрованы. Сама манера письменного текста несколько отличается от оригинальной записки Cerber.

Кроме того, Magniber вирус проявляет своеобразную особенность. Обычно вымогатель присваивает пользователю зараженного устройства ID. Кроме того, пострадавшие пользователи должны ввести код на указанном веб-сайте Tor, чтобы продолжить дешифрование данных.

С другой стороны, кибер-угроза Magniber направляет пользователей на субдомен, содержащий ID жертвы, сайта оплаты. Он разделен на четыре раздела: Домашняя страница, Поддержка, БЕСПЛАТНАЯ расшифровка 1 файла и Обновить страницу содержания.

Крипто-вирус также избегает определенных каталогов при поиске шифруемых файлов. Как подобает вымогателю, он пропускает программные файлы, корзину, локальные настройки и некоторые подпапки AppData. Кроме того, вредоносное ПО имеет возможность изменять адрес платежа биткоина, если он идентифицирует URL-адрес с другим ID жертвы.

Инфекция вымогатель Magniber

Magniber вымогатель вернулся более сильным в июле 2018

Исследователи безопасности из Malwarebytes Labs опубликовали подробный технический отчет о новом образце Magniber вируса. По мнению экспертов, в прошлом году вымогатель перенес огромные изменения и стал более мощным.

Первым существенным изменением кода вируса является возможность заражения. Новый Magniber теперь нацелен на пользователей за пределами Южной Кореи, т.е. вирус активирует свою нагрузку, когда он обнаруживает южнокорейский, китайский (Макао, Китай, Сингапур) или малайский (Малайзия, Бруней) языки. Таким образом, исследователи предполагают, что он будет расширяться еще больше, и от этой угрозы могут пострадать пользователи по всему миру.

Новая версия Magniber использует набор эксплойтов Magnitude а также уязвимость нулевого дня (CVE-2018-8174) Internet Explorer, которая была впервые обнаружена в апреле этого года и исправлена в следующем месяце. Поэтому пользователи, обновляющие свои браузеры вовремя, должны быть в безопасности от новой атаки  Magniber вируса. Кроме того, вирус довольно неудачен, когда речь идет о других современных браузерах, таких как Google Chrome или Mozilla Firefox.

Magnom вымогатель больше не полагается на Command & Control сервер или жестко закодированный ключ, а также использует улучшенные методы обмана. Расширенная версия вируса шифрует файлы, добавляя .dyaaghemy расширение, и на данный момент этот вариант Magniber не дешифруем.

Обновленная версия Magniber вымогателя

Для распространения крипто-вируса был использован набор эксплойтов Magnitude

Как упоминалось ранее, на данный момент вредоносная программа распространяется с помощью набора эксплойтов Magnitude. Он нацелен на определенную уязвимость CVE-2016-0189 в Internet Explorer. Этот недостаток уже исправлен. Таким образом, если вы используете браузер, убедитесь, что он обновлен.

Если набор эксплойтов обнаруживает уязвимость в браузере пользователя, набор направляет их на мошеннический веб-сайт, который настроен в соответствии с географической локацией жертвы. Такие сайты, вероятно, будут содержать ссылку. Активация загрузит вредоносное ПО и запустит взлом Magniber.

На данный момент вредоносное ПО ориентируется только на Южную Корею, но вскоре оно может расширить свою деятельность в других странах Восточной Азии, например, на японских сайтах. Поэтому, поспешите удалить Magniber.

Удалите Magniber вирус и затем перейдите к восстановлению файлов

Хотя вредоносное ПО пытается убедить, что это последняя версия Cerber, различия в режиме работы и исходном коде запускают спекуляции о том, являются ли разработчики одинаковыми. Хотя эксперты по безопасности заявляют, что вредоносная программа Cerber на самом деле имеет менее сложный исходный код противоречит такому утверждению.

В любом случае устранение вредоносного ПО должно быть вашим главным приоритетом. Не тратьте время на ручное удаление вируса. Лучше установите средство безопасности, например, Reimage Reimage Cleaner Intego или SpyHunter 5Combo Cleaner, чтобы удалить паразита. Вирус может помешать вам запустить программное обеспечение безопасности. В этом случае загрузите систему в безопасном режиме и запустите приложение защиты. Ниже приведены инструкции о том, как это сделать. Только после завершения удаления Magniber перейдите к восстановлению данных.

Предложение
Сделать!
Загрузить
Reimage Счастье
Гаранти-
ровано
Загрузить
Intego Счастье
Гаранти-
ровано
Совместимость с Microsoft Windows Supported versions Совместимость с OS X Supported versions
Что делать, если не удалось?
Если вам не удалось удалить вирусные повреждения с помощью Reimage Intego, задайте вопрос в нашу службу поддержки и предоставьте как можно больше подробностей.
Reimage Intego имеет бесплатный ограниченный сканер. Reimage Intego предлагает дополнительную проверку при покупке полной версии. Когда бесплатный сканер обнаруживает проблемы, вы можете исправить их с помощью бесплатного ручного ремонта или вы можете приобрести полную версию для их автоматического исправления.
Другие программы
Разное программное обеспечение имеет различное назначение. Если вам не удалось исправить поврежденные файлы с помощью Reimage, попробуйте запустить SpyHunter 5.
Другие программы
Разное программное обеспечение имеет различное назначение. Если вам не удалось исправить поврежденные файлы с помощью Intego, попробуйте запустить Combo Cleaner.

Руководство по ручному удалению вируса Magniber:

Удалите Magniber, используя Safe Mode with Networking

  • Шаг 1: Перезагрузите компьютер для Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Щелкните Start Shutdown Restart OK.
    2. Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.
    3. В списке выберите Safe Mode with Networking Выберите 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. В окне логина Windows нажмите кнопку Power. Затем нажмите и удерживайте клавишу Shift и щелкните Restart..
    2. Теперь выберите Troubleshoot Advanced options Startup Settings и нажмите Restart.
    3. Когда Ваш компьютер станет активным, в окне Startup Settings выберите Enable Safe Mode with Networking. Выберите 'Enable Safe Mode with Networking'
  • Шаг 2: Удалить Magniber

    Авторизируйтесь, используя Ваш зараженный аккаунт, и запустите браузер. Загрузите Reimage Reimage Cleaner Intego или другую надежную антишпионскую программу. Обновите её перед сканированием и удалите вредоносные файлы, относящиеся к программе-вымогателю, и завершите удаление Magniber.

Если программа-вымогатель блокирует Safe Mode with Networking, попробуйте следующий метод.

Удалите Magniber, используя System Restore

Если вы случайно не можете загрузить устройство в безопасном режиме, выполните восстановление системы. Это должно предоставить вам доступ к инструменту безопасности. Следовательно, вы сможете удалить Magniber вирус.

  • Шаг 1: Перезагрузите компьютер для Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Щелкните Start Shutdown Restart OK.
    2. Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.
    3. В списке выберите Command Prompt Выберите 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. В окне логина Windows нажмите кнопку Power. Затем нажмите и удерживайте клавишу Shift и щелкните Restart..
    2. Теперь выберите Troubleshoot Advanced options Startup Settings и нажмите Restart.
    3. Когда Ваш компьютер станет активным, в окне Startup Settings выберите Enable Safe Mode with Command Prompt. Выберите 'Enable Safe Mode with Command Prompt'
  • Шаг 2: Восстановите Ваши системные файлы и настройки
    1. После появления окна Command Prompt, введите cd restore и щелкните Enter Введите 'cd restore' без кавычек и нажмите 'Enter'
    2. Теперь введите rstrui.exe и снова нажмите Enter.. Введите 'rstrui.exe' без кавычек и нажмите 'Enter'
    3. После появления нового окна, щелкните Next и выберите Вашу точку восстановления, предшествующую заражению Magniber. После этого нажмите Next. В появившемся окне 'System Restore' выберите 'Next' Выберите Вашу точку восстановления и щелкните 'Next'
    4. Теперь щелкните Yes для начала восстановления системы. Щелкните 'Yes' и начните восстановление системы
    После того, как вы восстановите систему к предыдущей дате, загрузите и просканируйте ваш компьютер с убедитесь, что удаление рошло успешно.

Бонус: Восстановите ваши данные

Руководство, представленное выше, должно помочь вам удалить Magniber с вашего компьютера. Для восстановления зашифрованных файлов, мы рекомендуем использовать подробную инструкцию, подготовленную экспертами по безопасности bedynet.ru.

Если вы знаете AES ключ официальный дешифровщик Magniber может помочь восстановить файлы. В противном случае вы не сможете использоваться этим инструментом. Однако, вы можете попробовать альтернативные методы восстановления.

Если ваши файлы зашифрованные Magniber, вы можете использовать несколько методов, чтобы восстановить их:

Data Recovery Pro

Обратите внимание, что резервное копирование ваших файлов имеет решающее значение, особенно во времена проникновения вымогателя. Если вы их не создали, попробуйте эту программу. Она может помочь вам восстановить некоторые файлы.

  • Загрузить Data Recovery Pro;
  • Следуйте шагам по Data Recovery Установите и настройте программу на вашем компьютере;
  • Запустите ее и просканируйте ваш компьютер на файлы, зашифрованные Magniber вымогателем;
  • Восстановите их.

Полезность Shadow Explorer

Эта утилита создает копии исходных файлов на основе копий теневого тома, которые автоматически генерируются операционной системой. Нет никакой информации о том, удаляет ли их заранее Magniber угроза. Однако, через отношения к Cerber, который удаляет их, этот паразит может сделать также.

  • Загрузите Shadow Explorer (http://shadowexplorer.com/);
  • Следуйте настройкам Shadow Explorer, и установите это приложение на ваш компьютер;
  • Запустите программу и зайдите в меню, в верхнем левом углу, чтобы выбрать диск с вашими зашифрованными данными. Также проверьте, какие там папки ;
  • Правый щелчок на папку, которую вы хотите восстановить, и выберите “Export”. Также, вы можете выбрать куда вы хотите это восстановить.

Magniber дешифровщики

Как мы уже упоминали, южнокорейской группе безопасности удалось создать несколько расшифровщиков для Magniber вируса. Вы можете найти полный список выше или загрузить их с официального сайта.

В случае, если дешифраторы, созданные AhnLab, не работают для вас, вы можете попробовать более старую версию, но это только поможет дешифровать файлы, зашифрованные жестко кодированной версией вымогателя. Это означает, что вам нужно знать ключ и IV, которые необходимы для использования программного обеспечения для дешифрования. Вы можете скачать дешифратор здесь.

Наконец, Вам всегда следует подумать о защите от крипто-программ-вымогателей. Чтобы защитить компьютер от Magniber и других подобных приложений, используйте надежную антишпионскую программу, такую как Reimage Reimage Cleaner Intego, SpyHunter 5Combo Cleaner или Malwarebytes

О авторе
Alice Woods
Alice Woods

Если эта бесплатная инструкция по удалению помогла Вам и Вы довольны нашим сервисом, пожалуйста рассмотрите возможность оплаты взноса с целью оказания поддержки сервису. Будем благодарны даже за наименьшую сумму.

Обратитесь к Alice Woods
О компании Esolutions

Источник: https://www.2-spyware.com/remove-magniber-ransomware-virus.html
Руководство по удалению на другом языке

Ваше мнение по поводу к Magniber ransomware virus