Magniber fidye yazılımını dağıtmak için sahte windows güncellemeleri kullanıldığı belirtiliyor. Araştırmacılar, Windows 10 toplu veya güvenlik güncellemesi gibi pakletlenmiş dosyaları yükledikten sonra Magniber fidye yazılımının bulaştığını keşfettikerlerini açıkladı.
Bu güncellemeler çeşitli adlar altında dağıtılıyor; Win10.0_System_Upgrade_Software.msi [ VirusTotal ] ve Security_Upgrade_Software_Win10.0.msi en yaygın olanları.
System.Upgrade.Win10.0-KB47287134.msi
System.Upgrade.Win10.0-KB82260712.msi
System.Upgrade.Win10.0-KB18062410.msi
System.Upgrade.Win10.0-KB66846525.msiSahte Windows 10 güncellemelerinin nasıl tanıtıldığı %100 net olmasa da, indirmeler sahte warez ve crack sitelerinden dağıtılıyor.
Fidye yazılımı yüklendikten sonra gölge kopyalarını siliyor ardından dosyaları şifreliyor. Dosyaları şifrelerken, fidye yazılımı aşağıda gösterildiği gibi .gtearevf gibi rastgele 8 karakterlik bir uzantı ekliyor.
Fidye yazılımı ayrıca her klasörde fidye ödemek için Magniber Tor ödeme sitesine nasıl erişileceğine ilişkin talimatları içeren README.html adlı fidye notları oluşturuyor.
Magniber ödeme sitesinin adı ‘My Decryptor’ ve kurbanın bir dosyanın şifresini ücretsiz olarak çözmesine, ‘destek’ ile iletişime geçmesine veya fidye miktarını ve kurbanların ödeme yapması gereken bitcoin adresini belirlemesine izin veriyor.
Fidye talebinin yaklaşık 2.500$ veya 0.068 bitcoin olduğu görülüyor.
Kaynak: bleepingcomputer.com
