Vi ricordate Magniber? Per chi non lo ricorda (ne abbiamo parlato qui) è un ransomware individuato attorno alla fine di Ottobre del 2017 e viene distribuito attraverso l'exploit kit Magnitude.
Cerber è il famosissimo ransomware mai risolto, responsabile della criptazione dei file di migliaia di utenti. Magniber ne fu il successore, una fusione appunto tra Magnitude come vettore di attacco e Cerber come ransomware: fu ai primi di settembre 2017 infatti che Magnitude smise di distribuire Cerber per preferire Magniber.
Come cripta i file?
Al primo avvio, Magniber verifica la lingua in usata quando Windows è stato installato. Per adesso, se non è coreano, il processo termina e file non verranno criptati. Se invece la lingua individuata è il coreano, il ransomware genera l'ID della vittima che verrà usato nella nota di riscatto e quando si accede al sito TOR di pagamento.
Il ransomware inizia quindi il processo di criptazione dei file: cerca e cripta solo alcuni tipi di estensioni, in ogni caso oltre un centinaio di diverse tipologie di file. Cripta i file senza modificarne il nome, ma aggiungendovi due diverse estensioni: .ihsdj oppure .kgpvwnr.
 |
| La nota di riscatto di Magniber |
I ricercatori di sicurezza di AhnLab, Coreal del Sud, hanno pubblicato una serie di tool di decriptazione per numerose varianti di Magniber: la pagina per il download purtroppo non ha una versione inglese, quindi consigliamo l'uso del traduttore online. I tool, costantemente in aggiornamento, sono disponibili qui http://asec.ahnlab.com/1125
Non possiamo garantire, non essendo gli sviluppatori dei tool in download, il successo al 100% della decriptazione dei file. In caso di problemi, rivolgersi a http://asec.ahnlab.com/
Nessun commento:
Posta un commento