Magniber勒索软件通过JavaScript文件感染Windows用户

Bleeping Computer 网站披露，9 月初，Magniber 勒索软件运营商创建了宣传网站，力推 Windows 10 虚假的安全更新文件，一旦用户下载了包含 JavaScript 的恶意文件（ZIP档案），其文件就会遭到勒索软件加密。

惠普公司威胁情报团队在一份报告中指出，Magniber 勒索软件运营商要求受害用户支付高达 2500 美元的费用，以获得解密工具并恢复其文件。

【受威胁的Windows版本】

2022 年 1 月，Magniber 运营商主要使用 Chrome 和 Edge 浏览器的安全更新来推送恶意 Windows 应用程序包文件（.APPX）。

Magniber 使用新的感染链

以往 Magniber传播活动中，背后运营商主要使用 MSI 和 EXE 文件，最近则改用了 JavaScript 文件，名称如下：

系统关键升级 Win10.0.ba45bd8ee89b1.js 系统安全数据库升级 Win10.0.jse 抗病毒 _Upgrade_Cloud.29229c7696d2d84.jse 警报系统软件升级 392fdad9ebab262cc97f832c40e6ad2c.js

这些文件经过混淆处理，使用 "DotNetToJScript "技术变种，在系统内存中执行.NET 文件，可以很好降低被主机上防病毒产品发现的风险。

.NET文件对使用自身包装器进行隐秘系统调用的 shellcode 代码进行解码，并在终止自己的 shellcode 代码之前将其注入新进程。

shellcode 代码通过 WMI 删除卷影副本文件，并通过 “bcdedit” 和 “wbadmin” 禁用备份和恢复功能。这样的话，受害者恢复其文件的选项就会变得很少，增加了攻击者获得报酬的机会，

为了执行这一操作，Magniber 使用 Windows 中用户账户控制（UAC）功能的旁路。它依赖于一种机制，该机制涉及创建允许指定 shell 命令的新注册表项。

在后面的步骤中，将执行“fodhelper.exe”实用程序来运行用于删除卷影副本的脚本。

【UAC绕过程序】

最后，Magniber 对主机上的文件进行加密，并删除包含受害者恢复文件指示的赎金说明。

【Magniber 的新感染链(HP)】

惠普的分析师注意到，虽然 Magniber 试图将加密只限于特定的文件类型，但在枚举过程中生成的伪哈希并不完美，会导致哈希碰撞和 "附带损害"（即也会加密非目标的文件类型）。

用户可以通过定期备份文件并将其保存在一个离线存储设备上来防御勒索软件攻击，这样可以将数据恢复到一个新安装的操作系统上。注意，在恢复数据之前，用户应确保其备份未被感染。

参考文章：

https://www.bleepingcomputer.com/news/security/magniber-ransomware-now-infects-windows-users-via-javascript-files/