勒索病毒Magniber新變種出現，火絨安全可查殺

近期，火絨安全截獲到Magniber勒索病毒最新變種，其病毒文件名會偽裝成殺毒軟件更新程序，并以控制面板組件動態庫（.cpl）的形式傳播，手段非常具有欺騙性。Magniber主要通過仿冒網站、色情網站廣告彈窗等網站頁面傳播。火絨安全軟件最新版本可成功查殺Magniber勒索病毒及新變種。

火絨安勒索病毒查殺圖

Magniber病毒的勒索信如下圖所示：

勒索信內容

被勒索后，需要支付0.12比特幣（目前大概18543人民幣），相關暗網支付頁面，如下圖所示：

暗網支付頁面

根據“火絨威脅情報系統”監測，從7月下旬開始，Magniber新變種異常活躍，傳播趨勢如下圖所示：

近期Magniber新變種傳播趨勢圖

從Magniber新變種在國內各省份的感染量上看，暫時臺灣和香港感染量較多，廣東的感染量雖然排名第三，但與臺灣、香港相比相差較多。根據Magniber病毒活躍的歷史趨勢看，現在仍處于其新一輪傳播的初期階段，依然存在在國內其他省份大范圍傳播的可能性。

近期Magniber新變種各省感染情況一覽

Magniber勒索病毒歷史上一共出現過兩次變種。第一次為2021年11月份利用CVE-2021-40444和PrintNightmare漏洞傳播，第二次變種是2022年5月偽裝成Windows更新程序（.msi）傳播。根據以往的傳播趨勢來看，該病毒后續的傳播量還會持續上升。

Magniber勒索病毒活躍趨勢圖

據最新發布的《火絨安全終端防護數據報告（2022上半年）》結果顯示，今年1-6月間，火絨安全技術團隊處理的個人用戶被勒索事件中，Magniber數量占比最高，達29%。

火絨安全團隊提醒廣大用戶，及時更新病毒庫，做好自查防護，定期備份重要數據，謹防各類勒索病毒侵襲。

詳細分析

病毒行為

病毒啟動后首先會進行自解密，相關代碼如下圖所示：

代碼自解密

解密后會將帶有勒索功能的shellcode注入到進程名大于6字節并且非WOW64的進程中（如：sihost.exe），相關代碼，如下圖所示：

注入shellcode

加密算法分析

Magniber勒索病毒通過AES-128加密算法（對稱加密）對文件進行加密，并且通過RSA-2048加密算法（非對稱加密）來對AES算法的密鑰進行加密，相關加密邏輯代碼，如下圖所示：

生成AES-128算法的密鑰

使用AES-128算法對文件進行加密，相關代碼，如下圖所示：

AES-128算法加密文件數據

將AES-128算法的密鑰進行RSA-2048算法進行加密，相關代碼，如下圖所示：

對AES-128算法的密鑰進行RSA-2048加密