шкала интенсивности:  
  (99/100)

Вирус-вымогатель Magniber. Как удалить? (Руководство по удалению)

от Alice Woods - - | Тип: Вымогательское ПО

Magniber — опасный вирус-вымогатель, который возвратился с более опасной версией, чтобы заразить пользователей Кореи

Сайт оплаты Magniber вируса

Magniber — опасный криптовирус, который появился впервые в октябре 2017 года. Его название происходит от двух слов: Magnitude (вымогатель распространялся с использованием набора эксплойтов Magnitude) и Cerber. Для блокировки данных вредоносная программа использует AES-128 и рекламное расширение файла, состоящее из 5-9 букв. Затем паразит требует выкупа 0,2 BTC, которые потом удваиваются до 0,4 BTC. Хотя южнокорейским исследователям кибербезопасности удалось создать дешифратор для большинства вариантов Magniber вируса, он вернулся сильнее в июле 2018 года с обновленными методами обмана. Хотя он предназначался исключительно для корейских пользователей, его спектр был расширен с возможностью шифрования файлов китайских и малайзийских жертв. Вымогатель добавляет расширение файла .dyaaghemy и, на момент написания являлся не дешифруемым.

ОПИСАНИЕ
Имя Magniber вымогатель
Type Криптовирус
Связан с Cerber вирусом
Используемый эксплойт набор эксплойтов Magnitude
Требуемая сума выкупа 0.2 BTC; после пяти дней 0.4BTC
Используемые расширения

.fprgbk; .ihsdj; .kgpvwnr; .vbdrj; .skvtb; .vpgvlkb; .dlenggrl; .dxjay; .fbuvkngy; .xhspythxn; .demffue; .mftzmxqo; .qmdjtc; .wmfxdqz; .ndpyhss, .dyaaghemy

Симптомы Зашифрованные файлы
Распространение Уязвимость CVE-2016-0189 в Internet Explorer
Устранение Загрузите и установите Reimage, Malwarebytes MalwarebytesCombo Cleaner или Plumbytes Anti-MalwareMalwarebytes Malwarebytes. Перезагрузите ПК в безопасном режиме
Дешифратор Доступен тут (новейшие версии)и тут

Было обнаружено, что угроза кибер-угроза распространяется через набор эксплойтов Magnitude. Этот набор эксплойтов использовался Cerber вирусом. Однако это не единственное сходство с печально известным вымогателем.

Первоначально криптовирус предназначался только для южнокорейских пользователей. Теперь он замечен в других азиатских странах — Китае и Малайзии. Интересно, что вредоносное ПО убивает себя (удаляя свой исполняемый файл ping.exe), если оно обнаруживает других юзеров, кроме корейских, китайских или малазийских.

Криптовирус Magniber

Вредоносная программа использует AES-шифр. До конца марта 2018 года было почти невозможно расшифровать файлы без AES ключа. Однако южнокорейским специалистам по кибербезопасности удалось взломать код для большинства версий Magniber вымогателя.

Этот факт вызывает подозрение, что вредоносное ПО могли создать северокорейские хакеры. Такое предположение не является необоснованным с учетом кибер-возможностей этой страны Однако эта теория все еще нуждается в доказательствах.

Magniber вымогатель предназначен для шифрования файлов и вымогания оплаты выкупа. Вредоносная программа была обновлена несколько раз, и последние обновления были обнаружены в июне 2018 года. Эта версия добавляет расширение файла .ndpyhss и оставляет примечание о выкупе README.txt.

Каждый из новых вариантов добавляет другое расширение файла. В настоящее время вредоносное ПО блокирует файлы с этими суффиксами:

  • .fprgbk;
  • .ihsdj;
  • .kgpvwnr;
  • .vbdrj;
  • .skvtb;
  • .vpgvlkb;
  • .dlenggrl;
  • .dxjay;
  • .fbuvkngy;
  • .xhspythxn;
  • .demffue;
  • .mftzmxqo;
  • .qmdjtc;
  • .wmfxdqz;
  • .ndpyhss

После шифрования данных вредоносное ПО предлагает купить My Decryptor чтобы восстановить поврежденные файлы. На данный момент он стоит 0,2 биткоины (1140 долларов США). Через пять дней он удвоится до 0,4. Не выполняйте платеж, так как паразита можно расшифровать. Вместо этого сосредоточьтесь на удалении Magniber. Reimage или Plumbytes Anti-MalwareMalwarebytes Malwarebytes — надежное программное обеспечение безопасности, которое может помочь с быстрым удалением вредоносных программ.

Предыдущие попытки взлома вредоносного кода

Симоне «evilsocket» Маргарителли, исследователю мобильной охранной компании Zimperium, удалось создать инструмент дешифрования, который мог бы помочь восстановить файлы после атаки Magniber. Однако, чтобы использовать его, жертвы должны знать ключ AES.

Согласно исследователю, дешифратор должен работать, если жертвы были заражены с некорейского IP-адреса или они не могут подключиться к Command & Control (C & C) серверу. Эти люди должны знать жесткий код и IV, которые должны быть включены в код вымогателя.

Команда экспертов по безопасности в Южной Корее выпустила новые дешифраторы

В конце марта 2018 года исследователи безопасности из AhnLab выпустили несколько дешифраторов для различных типов Magniber вируса. Инструмент восстановления работает на основе ошибки шифрования, которая была оставлена хакерами.

Ниже вы можете увидеть таблицу, в которой теперь можно расшифровать версии Magniber вымогателя:

Decrypter release date Recoverable file extension Victim Key Magniber payment site vector  Download Link
 3/30  kympzmzw  Jg5jU6J89CUf9C55  i9w97ywz50w59RQY MagniberDecrypt.zip
 3/30  owxpzylj  u4p819wh1464r6J9  mbfRHUlbKJJ7024P MagniberDecrypt.zip
 3/30  prueitfik  EV8n879gAC6080r6  Z123yA89q3m063V9 MagniberDecrypt.zip
 3/31 rwighmoz   BF16W5aDYzi751NB  B33hQK9E6Sc7P69B MagniberDecrypt.zip
 3/31  bnxzoucsx  E88SzQ33TRi0P9g6  Bo3AIJyWc7iuOp91 MagniberDecrypt.zip
 3/31  tzdbkjry n9p2n9Io32Br75pN  ir922Y7f83bb7G12  MagniberDecrypt.zip
 4/1  iuoqetgb  QEsN9KZXSp61P956 lM174P1e6J24bZt1  MagniberDecrypt.zip
 4/1 pgvuuryti   KHp4217jeDx019Uk  A4pTQ6886b401JR5 MagniberDecrypt.zip
 4/2  zpnjelt  LyAAS6Ovr647GO65  nS3A41k9pccn03J2 MagniberDecrypt.zip
 4/2  gnhnzhu  I0727788KuT5kAqL  sCnHApaa61l5U2R0 MagniberDecrypt.zip
 4/3  hssjfbd  u5f1d693LGkEgX07  kV35Z1K3JB7z6P06 MagniberDecrypt.zip
 4/3  ldolfoxwu  i24720y16f10qJ21  fX5U9Z6A2j8ZUvkO MagniberDecrypt.zip
 4/3  zskgavp  nuu9WO56Gc0N5hn7  ASY0d6dlyrEH6385 MagniberDecrypt.zip
 4/3  gwinpyizt  dcQOje3dzW469125  T5438Nl5VI62XxM8 MagniberDecrypt.zip

Эксперты по безопасности, похоже, выпускают новые версии через короткие промежутки времени. Таким образом, эта информация может быть устаревшей в ближайшее время. Чтобы проверить последние версии, зайдите на сайт AhnLab.

Magniber вирус

Аналогии Cerber и Magniber

Хотя он использует один и тот же сайт оплаты, его исходный код выглядит менее сложным, чем у Cerber. Поэтому он дает надежду на то, что вирус может быть расшифрован. После проникновения в систему вредоносная программа кодирует данные и добавляет .ihsdj или .kgpvwnr расширение. Кроме того, он откроет файл о выкупе, который называется READ_ME_FOR_DECRYPT_[id].txt.

Он содержит типичный текст, объясняющий, что все документы, фотографии и базы данных зашифрованы. Сама манера письменного текста несколько отличается от оригинальной записки Cerber.

Кроме того, Magniber вирус проявляет своеобразную особенность. Обычно вымогатель присваивает пользователю зараженного устройства ID. Кроме того, пострадавшие пользователи должны ввести код на указанном веб-сайте Tor, чтобы продолжить дешифрование данных.

С другой стороны, кибер-угроза Magniber направляет пользователей на субдомен, содержащий ID жертвы, сайта оплаты. Он разделен на четыре раздела: Домашняя страница, Поддержка, БЕСПЛАТНАЯ расшифровка 1 файла и Обновить страницу содержания.

Крипто-вирус также избегает определенных каталогов при поиске шифруемых файлов. Как подобает вымогателю, он пропускает программные файлы, корзину, локальные настройки и некоторые подпапки AppData. Кроме того, вредоносное ПО имеет возможность изменять адрес платежа биткоина, если он идентифицирует URL-адрес с другим ID жертвы.

Инфекция вымогатель Magniber

Magniber вымогатель вернулся более сильным в июле 2018

Исследователи безопасности из Malwarebytes Labs опубликовали подробный технический отчет о новом образце Magniber вируса. По мнению экспертов, в прошлом году вымогатель перенес огромные изменения и стал более мощным.

Первым существенным изменением кода вируса является возможность заражения. Новый Magniber теперь нацелен на пользователей за пределами Южной Кореи, т.е. вирус активирует свою нагрузку, когда он обнаруживает южнокорейский, китайский (Макао, Китай, Сингапур) или малайский (Малайзия, Бруней) языки. Таким образом, исследователи предполагают, что он будет расширяться еще больше, и от этой угрозы могут пострадать пользователи по всему миру.

Новая версия Magniber использует набор эксплойтов Magnitude а также уязвимость нулевого дня (CVE-2018-8174) Internet Explorer, которая была впервые обнаружена в апреле этого года и исправлена в следующем месяце. Поэтому пользователи, обновляющие свои браузеры вовремя, должны быть в безопасности от новой атаки  Magniber вируса. Кроме того, вирус довольно неудачен, когда речь идет о других современных браузерах, таких как Google Chrome или Mozilla Firefox.

Magnom вымогатель больше не полагается на Command & Control сервер или жестко закодированный ключ, а также использует улучшенные методы обмана. Расширенная версия вируса шифрует файлы, добавляя .dyaaghemy расширение, и на данный момент этот вариант Magniber не дешифруем.

Обновленная версия Magniber вымогателя

Для распространения крипто-вируса был использован набор эксплойтов Magnitude

Как упоминалось ранее, на данный момент вредоносная программа распространяется с помощью набора эксплойтов Magnitude. Он нацелен на определенную уязвимость CVE-2016-0189 в Internet Explorer. Этот недостаток уже исправлен. Таким образом, если вы используете браузер, убедитесь, что он обновлен.

Если набор эксплойтов обнаруживает уязвимость в браузере пользователя, набор направляет их на мошеннический веб-сайт, который настроен в соответствии с географической локацией жертвы. Такие сайты, вероятно, будут содержать ссылку. Активация загрузит вредоносное ПО и запустит взлом Magniber.

На данный момент вредоносное ПО ориентируется только на Южную Корею, но вскоре оно может расширить свою деятельность в других странах Восточной Азии, например, на японских сайтах. Поэтому, поспешите удалить Magniber.

Удалите Magniber вирус и затем перейдите к восстановлению файлов

Хотя вредоносное ПО пытается убедить, что это последняя версия Cerber, различия в режиме работы и исходном коде запускают спекуляции о том, являются ли разработчики одинаковыми. Хотя эксперты по безопасности заявляют, что вредоносная программа Cerber на самом деле имеет менее сложный исходный код противоречит такому утверждению.

В любом случае устранение вредоносного ПО должно быть вашим главным приоритетом. Не тратьте время на ручное удаление вируса. Лучше установите средство безопасности, например, Reimage или Malwarebytes MalwarebytesCombo Cleaner, чтобы удалить паразита. Вирус может помешать вам запустить программное обеспечение безопасности. В этом случае загрузите систему в безопасном режиме и запустите приложение защиты. Ниже приведены инструкции о том, как это сделать. Только после завершения удаления Magniber перейдите к восстановлению данных.

Предложение
Сделать!
Загрузить
Reimage (удалитель) Счастье
Гаранти-
ровано
Загрузить
Reimage (удалитель) Счастье
Гаранти-
ровано
Совместимость с Microsoft Windows Supported versions Совместимость с OS X Supported versions
Что делать, если не удалось?
Если вам не удалось удалить вирусные повреждения с помощью Reimage, задайте вопрос в нашу службу поддержки и предоставьте как можно больше подробностей.
Для удаления ущерба, нанесенного вирусом рекомендуется Reimage Бесплатное сканирование позволит Вам проверить заражен Ваш ПК или нет. Если хотите удалить вредоносные программы, то Вам нужно купить средство для удаления вредоносного ПО - лицензионную копию Reimage.

Руководство по ручному удалению вируса Magniber:

О авторе

Alice Woods
Alice Woods

Если эта бесплатная инструкция по удалению помогла Вам и Вы довольны нашим сервисом, пожалуйста рассмотрите возможность оплаты взноса с целью оказания поддержки сервису. Будем благодарны даже за наименьшую сумму.

Обратитесь к Alice Woods
О компании Esolutions

Источник: https://www.2-spyware.com/remove-magniber-ransomware-virus.html

Руководство по удалению на другом языке