病毒通告:Magniber勒索病毒,偽裝 Windows 10 系統更新程式
2022-08-23
風險等級: 低度威脅
摘  要: 病毒通告:Magniber勒索病毒,偽裝 Windows 10 系統更新程式
解決辦法: 若不慎已感染此病毒,建議處理方式如下: 1.確認所有軟體與作業系統安全性更新的來源與方式,避免執行不明來源的檔案。 2.請檢視並加強網路存取控制嚴謹程度,若可能建議以正向表列方式,僅允許用戶端存取可連接網站的類別,關閉其他非必要對外網路服務,例如影音串流網站等。 3.限縮高權限的管理者帳號(Domain Admins、Enterprise Admins、本機管理員等)的登入來源與登入方式,例如限制Domain Admins群組帳號僅允許安全的管理主機登入。 4.檢視重要伺服器或電腦上是否出現異常的工作排程、異常檔案。 5.在HTTP閘道阻擋副檔名為 .msi 與 .cpl 檔案的下載。 6.勒索病毒攻擊手法日新月異防不勝防,務必以三二一原則妥善備份重要檔案(三份備份,分別存放在兩種不同類型的裝置,一份放在異地或安全地點)。 7.建議用戶維持病毒碼正常更新
細節描述: Magniber的勒索病毒,偽裝成Windows 10的系統更新程式,將惡意程式包裝成Windows Installer MSI檔案,以降低受害者的戒心。

1.入侵正常網站之後,上傳惡意程式,或透過惡意廣告進行擴散。或是將惡意程式放置在非常規的網站中。

2.當用戶瀏覽影音串流網頁時,吸引受害者下載偽冒的Installer安裝程式的下載(通常會偽裝成Windows 10的更新檔案)或,是Windows控制台項目的檔案CPL(通常會偽裝成防毒軟體的更新檔案)。

3.透過執行MSIEXEC.exe進行上述MSI檔案的安裝,或是透過Control.exe執行控制台項目的CPL檔案。
趨勢科技已將該勒索病毒偵測為
Ransom.Win64.MAGNIBER.YNCGK
Ransom.Win64.MAGNIBER.J
Ransom.Win64.MAGNIBER.SMYXCD1
Trojan.Win64.INJECTOR.AN
Ransom.5C670FAC
TROJ_FRS.VSNTGQ22
Troj.Win32.TRX.XXPE50FFF059
參考資訊: Trend Micro