近期,有国外研究人员发现了一种新型的勒索软件,并将其命名为Magniber,值得注意的是,这款勒索软只针对韩国及亚太地区的用户开展攻击。该勒索软件是基于Magnitude exploit kit(简称Magnitude EK)开发套件进行开发,并且在之前有多款恶意软件基于这款开发套件进行开发,也正是因为这样,研究人员将其命名为Magniber, 取Magnitude exploit kit的”Magni“及Cerber的“ber”组合而成。

对于Magnitude EK, 这款恶意软件此前一直在亚太活动,火眼在其一篇文章中称,自2016年Magnitude EK的活动基本已经销声匿迹,但是其仍一直在特定地区活动频繁,特别是近期一直在频繁攻击APAC地区(亚太),下图是火眼的一张攻击分布图:

Magnitude EK攻击分布图

除此之外,前段时间其他机构的研究员也发现了Magniber类似的活动迹象。趋势科技指出,自十月15日以来,Magniber勒索软件,就一直在开展攻击活动。不过即便是这个恶意软件目前在这亚太地区活动频繁,但是暂时没有迹象表明其正在针对特定组织或机构开展攻击。

同时,有另外名来自火眼的研究员,Muhammad Umair,Zain Gardezi在一篇报告中介绍了该勒索软件的大致执行流程,勒索软件Magniber在执行时会通过调用GetSystemDefaultUILanguage函数来检查操作系统语言版本,如果发现系统语言版本不是韩语,则直接退出。如果系统语言版本为韩文,接着会将其使用RC4加密存储至代码资源区的核心代码解密至内存中执行,然后这段核心代码会采用AES 128对系统中的数据进行加密,同时,将加密后的文件的文件名加一个后缀“.ihsdj”,当它完成所有的操作之后,他会将自己从磁盘中删除,这种做法和其他勒索软件并无区别。另外,这款恶意软件还会做虚拟机检测,如果发现自己位于虚拟机中,则会中断执行。执行流程如图所示:

Magniber执行流程图

同时趋势科技还指出,该勒索软件主要使用微软去年9月修补的一个IE内存破坏漏洞(CVE-2016-0189)进行扩散。攻击者通过发送邮件的方式在用户机器上触发该漏洞,那些运行老旧版本的机器,未打补丁的机器,极易中招。

目前该勒索软件主要针对韩国及部分亚太地区,国内暂时为发现活动迹象,但是本着未雨绸缪的心态,当务之急还是应该尽快将自己的电脑的补丁打全,同时来历不明的邮件不要随意点开。安全小子团队后续也会对此恶意软件展开追踪及分析。

参考文章:

[1] https://threatpost.com/new-magniber-ransomware-targets-south-korea-asia-pacific/128567/

[2] https://www.fireeye.com/blog/threat-research/2017/10/magniber-ransomware-infects-only-the-right-people.html

欢迎关注安全小子,安全路上你我同行

新型勒索软件Magniber正瞄准韩国、亚太地区开展攻击的更多相关文章

  1. 安全预警-防范新型勒索软件“BlackRouter”

    近期,出现一种新型勒索软件“BlackRouter”,开发者将其与正常软件恶意捆绑在一起,借助正常软件的下载和安装实现病毒传播,并以此躲避安全软件的查杀.目前,已知的被利用软件有AnyDesk工具(一 ...

  2. 1千万英国用户被Cryptolocker勒索软件瞄准

    英国国家打击犯罪调查局(NCA)发布国家紧急警报,警报一场大规模的垃圾邮件,这些邮件中包含了一款名为CryptoLocker的勒索程序,把目标瞄准了1千万英国的email用户,该程序会加密用户的文档, ...

  3. 发送垃圾邮件的僵尸网络——药物(多)、赌博、股票债券等广告+钓鱼邮件、恶意下载链接、勒索软件+推广加密货币、垃圾股票、色情网站(带宏的office文件、pdf等附件)

    卡巴斯基实验室<2017年Q2垃圾邮件与网络钓鱼分析报告> 米雪儿 2017-09-07 from:http://www.freebuf.com/articles/network/1465 ...

  4. 技术分析 | 新型勒索病毒Petya如何对你的文件进行加密

    6月27日晚间,一波大规模勒索蠕虫病毒攻击重新席卷全球. 媒体报道,欧洲.俄罗斯等多国政府.银行.电力系统.通讯系统.企业以及机场都不同程度的受到了影响. 阿里云安全团队第一时间拿到病毒样本,并进行了 ...

  5. 勒索软件Locky、Tesalcrypt等使用了新的工具躲避检测

    勒索软件Locky.Tesalcrypt等使用了新的工具躲避检测 今天我们发现Locky勒索软件家族使用一种新的工具来躲避检测,并且可能已经感染了很多节点. 自从我们通过AutoFocus智能威胁分析 ...

  6. 360安全中心:WannaCry勒索软件威胁形势分析

    猫宁!!! 参考链接:http://zt.360.cn/1101061855.php?dtid=1101062360&did=210646167 这不是全文,而是重点摘要部分. 2017年5月 ...

  7. 螣龙安科:威胁研究——与MAZE勒索软件事件相关的策略,技术和程序

    至少从2019年5月开始,恶意行为者就一直在积极部署MAZE勒索软件.勒索软件最初是通过垃圾邮件和漏洞利用工具包分发的,后来又转移到妥协后进行部署.根据我们在地下论坛中对涉嫌用户的观察以及整个Mand ...

  8. android86 监听SD卡状态,勒索软件,监听应用的安装、卸载、更新,无序广播有序广播

    * 添加权限 <uses-permission android:name="android.permission.RECEIVE_SMS"/> * 4.0以后广播接收者 ...

  9. 【翻译】旧技术成就新勒索软件,Petya添加蠕虫特性

    原文链接:https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-wo ...

随机推荐

  1. 201521123103 《Java学习笔记》 第四周学习总结

    一.本周学习总结 1.1 尝试使用思维导图总结有关继承的知识点. 1.2 使用常规方法总结其他上课内容. (1)多态性:相同形态,不同行为(不同的定义): (2)多态绑定:运行时能够自动地选择调用哪个 ...

  2. 201521123018 《Java程序设计》第3周学习总结

    1. 本章学习总结 1. 学习了类的创建: 2. 学会利用快捷方式完成变量的getter和setter的设定: 3. 学会了静态变量和非静态变量的区别和定义: 4. 学习了构造函数的基本编写方法. 2 ...

  3. 201521123037 《Java程序设计》第10周学习总结

    1. 本周学习总结 1.1 以你喜欢的方式(思维导图或其他)归纳总结异常与多线程相关内容. 创建自己的异常 1.自定义异常要继承已有的异常,需要手动throw异常:根据继承的异常不同以及具体情况,选择 ...

  4. 《JAVA程序设计》第13周学习总结

    1. 本章学习总结 以你喜欢的方式(思维导图.OneNote或其他)归纳总结多网络相关内容. GET / HTTP/1.0可以返回一个HTML格式的文本页 IP地址可以用来标识网络上的主机 Socke ...

  5. 201521123062《Java程序设计》第12周学习总结

    1. 本周学习总结 1.1 以你喜欢的方式(思维导图或其他)归纳总结多流与文件相关内容. 2. 书面作业 将Student对象(属性:int id, String name,int age,doubl ...

  6. 【Intellij Idea】设置JDK

    1,File-->Project Structure 说明:可以设置整个工程的JDK,也设置每个modules的JDK,但是一般整个工程的JDK. 2,或者通过快捷键:ctrl+alt+shif ...

  7. 参加IMWebConf 2017 前端开发者大会是什么体验?

    周六作为特邀讲师之一参加了IMWebConf 2017 前端开发者大会的主题演讲,主题为<WebAssembly:面向未来的web开发技术>.本次大会质量非常高,来自国内外的技术专家带了很 ...

  8. Shiro第一篇【Shiro的基础知识、回顾URL拦截】

    Shiro基础知识 在学习Shiro这个框架之前,首先我们要先了解Shiro需要的基础知识:权限管理 什么是权限管理? 只要有用户参与的系统一般都要有权限管理,权限管理实现对用户访问系统的控制,按照安 ...

  9. node.js的generic-pool与mysql结合,mysql连接池

    var generic_pool = require('generic-pool'); var pool = generic_pool.Pool({     name: 'mysql',     ma ...

  10. 百度富文本编辑器Ueditor使用

    首先我们登上ueditor下载,可以看到多种版本. UBuilder:可以自己选择需要的工具. 我用的开发版,Java的jsp版本,在这里是全部工具,但是工具在配置文件中也是可以自己选择的. 下载下来 ...