Вымогатель Magniber заражает пользователей Windows JavaScript-файлами

Екатерина Быстрова 14 Октября 2022 - 10:12

...

Вымогатель Magniber заражает пользователей Windows JavaScript-файлами

Новая кампания операторов программы-вымогателя Magniber нацелена на домашних пользователей Windows. Атакующие используют старый прием — фейковые обновления антивируса, подсовывая JavaScript-файлы.

В сентябре злоумышленники создали веб-сайты, на которых предлагались фейковые обновления антивирусов и других защитных средств для Windows 10. В результате пользователь мог загрузить ZIP-архивы, содержащие файлы JavaScript, которые запускали цепочку заражения шифровальщиком.

В отчете исследователей из HP отмечается, что операторы Magniber требуют 2500 долларов за дешифратор, восстанавливающий файлы. Используемая версия вымогателя работает исключительно на Windows 10 и Windows 11. В последней кампании злоумышленники переключились с файлов формата MSI и EXE на JavaScript:

SYSTEM.Critical.Upgrade.Win10.0.ba45bd8ee89b1.js
SYSTEM.Security.Database.Upgrade.Win10.0.jse
Antivirus_Upgrade_Cloud.29229c7696d2d84.jse
ALERT.System.Software.Upgrade.392fdad9ebab262cc97f832c40e6ad2c.js

Эти обфусцированные файлы используют технику “DotNetToJScript” для выполнения .NET-файла в памяти системы. Такой подход снижает риски детектирования антивирусными продуктами. .NET-файл расшифровывает шелл-код, который использует собственную обертку для незаметной инъекции в новый процесс.

Все теневые копии, само собой, удаляются. Помимо этого, вредонос отключает функции создания резервных копий. Контроль учетных записей в Windows (UAC) также легко обходится, что позволяет вымогателю спокойно выполнять свои функции в системе.

Изначально авторы Magniber задумывали шифрование лишь отдельных типов файлов, но из-за несовершенной генерации псевдохеша вредонос шифрует и другие типы файлов.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Читайте также

В мессенджере MAX появился цифровой ID

Яков Шпунт 15 Сентября 2025 - 19:08

Соответствие законодательству РФ Общее

Новая функция позволяет пользователям подтвердить свой возраст и социальный статус в цифровом формате. Подключить её могут все владельцы мессенджера старше 18 лет. Сервис ориентирован на ситуации, где требуется быстрая и удобная верификация без предъявления бумажных документов.

Для создания цифрового ID необходимо пройти подтверждение личности через Единую биометрическую систему. Это можно сделать уже на этапе регистрации, используя заграничный паспорт нового образца.

Цифровой ID пригодится для подтверждения возраста при совершении покупок, требующих соответствующей проверки, а также для подтверждения социального статуса, дающего право на льготы, например, статуса студента или многодетного родителя. Кроме того, сервис можно использовать как пропуск в учебное заведение.

Подтверждение возраста или статуса осуществляется с помощью QR-кода, сформированного на основе данных из Госуслуг. При этом доступ к другим персональным данным исключён. Использование сервиса посторонними невозможно: для подтверждения требуется биометрия, а сам QR-код регулярно обновляется. Цифровой ID также позволяет просматривать реквизиты любых документов, включая паспорт, СНИЛС и ИНН.

Пока сервис работает в тестовом режиме. Первой к нему подключилась розничная сеть «Магнит», в дальнейшем список участников будет расширяться.

Введение цифрового ID не отменяет бумажные документы. Они сохраняют юридическую силу и продолжат использоваться, а цифровой формат станет лишь дополнительным инструментом для подтверждения личности.