[보안뉴스 김영명 기자] Entre os muitos programas de ransomware, o Magniber ransomware em particular é analisado para ter um grande número de distribuições de forma consistente. O Magniber Ransomware foi distribuído através de explorações do IE (Internet Explorer) nos últimos anos, mas as explorações do IE foram publicadas desde que o suporte do IE terminou. Desde então, o Magniber Ransomware foi distribuído como um arquivo de pacote de instalação do Windows (.msi) nos navegadores Microsoft Edge e Google Chrome.
▲ Código do injetor executado por msiexec.exe (injetar ransomware em operação normal)[자료=안랩 ASEC 분석팀]
De acordo com a equipe de análise ASEC da AhnLab, houve relatos de casos de danos sendo reinfectados recentemente a partir de um sistema infectado com Magniber Ransomware. Como resultado dessa análise de ransomware, toda vez que o sistema é reinicializado, um novo Magniber é baixado e projetado para ser criptografado, causando danos ainda maiores.
Se você observar o código do injetor que é executado em msiexec.exe quando o arquivo MSI está em execução, as cargas úteis do Magniber ransomware são injetadas sequencialmente por meio de um loop do-while na lista de processos do usuário. Em seguida, o código da função Inject_Magniber injeta o ransomware no processo do usuário por meio da API mostrada na imagem. Em seguida, o código Magniber Ransomware injetado no processo normal gera um valor aleatório usando uma função aleatória (Func_Random).
▲ A função Inject_Magniber e o código Magniber Ransomware são injetados no processo normal[자료=안랩 ASEC 분석팀]
Neste momento, se houver um número ímpar, o código de persistência (Persistence_RegistryEdit) é executado, e se houver um número par, a criptografia é tentada sem recadastramento. O novo registro é uma etapa de pré-criptografia e, se for bloqueado na etapa de novo registro do novo registro, a criptografia do arquivo é executada usando a metade restante das operações que não executaram o código de novo registro para codificação bem-sucedida. A rotina de persistência da função Persistent_RegistryEdit pode ser vista na figura abaixo.
Rotina de persistência da função Persistent_RegistryEdit[자료=안랩 ASEC 분석팀]
Para contornar a proibição simplesmente registrando o Magniber Ransomware na chave do registro, as etapas de registro são as seguintes. Primeiro, um arquivo .3fr obsoleto é registrado na chave “HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” e um arquivo fictício é criado nesse caminho. Em segundo lugar, quando o arquivo .3fr é executado, ele é registrado no registro para ser executado em conjunto. Em terceiro lugar, salva o comando para baixar Magniber ransomware no histórico registrado.
▲ Gravação Gravada na chave de reprodução, Gravação para ser tocada junto, Gravação do comando Magniber Gravação para reexecução (de cima)[자료=안랩 ASEC 분석팀]
Quando o sistema é reiniciado, a extensão .3fr registrada na chave de inicialização é executada e um novo Magniber é baixado e criptografado novamente devido ao registro destinado a um processo adicional.
▲ Status da distribuição do Magniber Ransomware[자료=안랩 ASEC 분석팀]
Como resultado do exame e análise do sistema de cobrança automática da Magnever, confirma-se que a distribuição da Magnever parou desde a tarde do dia 20, mas não se sabe quando a distribuição será retomada. O Magniber é distribuído aos usuários das versões mais recentes do Windows dos navegadores Chrome e Edge por meio de typosquatting, que explora erros de gravação de domínio. Portanto, é necessário um cuidado especial, pois um domínio digitado incorretamente pelo usuário pode levar à infecção por ransomware como no caso anterior.
[김영명 기자(boan@boannews.com)]
www.boannews.com) Reprodução não autorizada – Redistribuição proibida>
“Pensador. Aspirante a amante do Twitter. Empreendedor. Fã de comida. Comunicador total. Especialista em café. Evangelista da web. Fanático por viagens. Jogador.”