严重程度量表:  
  (99/100)

Magniber 勒索病毒. 如何移除? (卸载指南)

Alice Woods 评价 - - | 类型:勒索软件

Magniber 勒索软件是一种网络威胁,它会锁住个人文件,要求支付赎金才提供解密密钥

Magniber 病毒付款网站

有关 Magniber ransomware virus 的问题

Magniber 是勒索软件,它于 2017年 底首次攻击受害者。它的名字取自 Magnitude(由于恶意软件是在 Magnitude 漏洞利用工具包的帮助下传播)及 Cerber。这个加密病毒是使用 AES-128 加密算法来加密数据的,然后它会添加含有 5 到 9 个字母的文件扩展名,最新的变种则使用了 .ndpyhss 为扩展名。加密后不久,勒索软件会置放一份用英文或韩文书写的勒索字条,让受害者知道他们需要支付 0.2BTC 的文件释放费用,后来又将费用提高到 0.4BTC。

概要
名称 Magniber 勒索软件
类型 加密病毒
相关病毒 Cerber 病毒
所用的漏洞工具 Magnitude 漏洞利用工具包
所要求的赎金 0.2 BTC;五天内提高至 0.4BTC
所使用的扩展

.fprgbk; .ihsdj; .kgpvwnr; .vbdrj; .skvtb; .vpgvlkb; .dlenggrl; .dxjay; .fbuvkngy; .xhspythxn; .demffue; .mftzmxqo; .qmdjtc; .wmfxdqz; .ndpyhss

症状 文件被加密
分布方法 利用 Internet Explorer 里 CVE-2016-0189 的漏洞
消除方法 下载及安装 ReimageMalwarebytes MalwarebytesCombo Cleaner 或 Plumbytes Anti-MalwareMalwarebytes Malwarebytes。在安全模式下重新启动计算机
解密方法 提供于此处(最新版本)以及此处

Magniber 网络威胁于 2017 年 10 月被发现通过 Magnitude 漏洞利用工具包传播。这个漏洞利用工具包之前已被 Cerber 病毒所用。然而,这并不是它与这个臭名昭着的勒索软件唯一相似的地方。

这个加密病毒专门针对韩国的计算机用户。有趣的是,如果它检测到韩语之外的其他文件,它会自行终止(通过删除其 ping.exe 可执行文件)。

Magniber - 致命性的病毒

这个恶意软件使用了 AES 密码。2018 年 3 月底之前,在没有 AES 密钥的情况下几乎不可能解密文件。然而,韩国网络安全专家成破解了大部分 Magniber 勒索软件版本的代码。

这个事实引发了对朝鲜黑客的怀疑,认为恶意软件可能是他们制造的。考虑到这个国家的网络能力,这种假设并非毫无根据。然而,这个说法仍然需要证据。

Magniber 勒索软件主要的目的是将文件加密然后要求受害者支付赎金,这个恶意软件已多次更新,最新的更新于 2018 年 6 月被发现。最新版本添加了.ndpyhss 文件扩展名并置放了README.txt 的勒索字条。

每个新变种都会附加不同的文件扩展名。目前,恶意软件使用了以下这些后缀来锁住文件:

  • .fprgbk;
  • .ihsdj;
  • .kgpvwnr;
  • .vbdrj;
  • .skvtb;
  • .vpgvlkb;
  • .dlenggrl;
  • .dxjay;
  • .fbuvkngy;
  • .xhspythxn;
  • .demffue;
  • .mftzmxqo;
  • .qmdjtc;
  • .wmfxdqz;
  • .ndpyhss

Cerber 勒索软件将所有文件都加密

加密数据后,恶意软件会建议购买 My Decryptor 以还原损坏的文件。目前,其费用为 0.2 比特币(1140 美元),五天内它即翻倍至 0.4。由于恶意软件是可以解密的,因此请不要付款;相反的,你应该专注于 Magniber 的移除。ReimagePlumbytes Anti-MalwareMalwarebytes Malwarebytes 是一种可靠的安全软件,有助于快速消除恶意软件。

破解恶意代码的尝试

移动安全公司 Zimperium 的研究员 Simone Margaritelli (又名  “evilsocket”)成功创建了一个解密工具 ,这个工具可能对文件受到 Magniber 攻击后有助于文件的还原。然而,欲使用这个工具,受害者必须知道 AES 密钥。

根据研究人员的说法,如果受害者不是从韩国 IP 地址感染的,或者他们无法连接到命令与控制 (C&C) 服务器,那解密器应该可以正常操作,但这些人应该知道包含在勒索软件代码中的硬编码密钥和 IV。

一支位于韩国的安全专家团队发布了新的解密器

在 2018 年 3 月底,AhnLab 的安全研究人员为不同类型的 Magniber 病毒发布了多个解密器,他们是基于黑客遗漏的加密错误而建立了复原工具的功能。

你可以在以下的表里看到哪些版本的 Magniber 勒索软件是现在就可以解密的:

解码器发布日期 可以复原的文件扩展 受害者密钥 Magniber 付款网站矢量  下载链接
 3/30  kympzmzw  Jg5jU6J89CUf9C55  i9w97ywz50w59RQY MagniberDecrypt.zip
 3/30  owxpzylj  u4p819wh1464r6J9  mbfRHUlbKJJ7024P MagniberDecrypt.zip
 3/30  prueitfik  EV8n879gAC6080r6  Z123yA89q3m063V9 MagniberDecrypt.zip
 3/31 rwighmoz   BF16W5aDYzi751NB  B33hQK9E6Sc7P69B MagniberDecrypt.zip
 3/31  bnxzoucsx  E88SzQ33TRi0P9g6  Bo3AIJyWc7iuOp91 MagniberDecrypt.zip
 3/31  tzdbkjry n9p2n9Io32Br75pN  ir922Y7f83bb7G12  MagniberDecrypt.zip
 4/1  iuoqetgb  QEsN9KZXSp61P956 lM174P1e6J24bZt1  MagniberDecrypt.zip
 4/1 pgvuuryti   KHp4217jeDx019Uk  A4pTQ6886b401JR5 MagniberDecrypt.zip
 4/2  zpnjelt  LyAAS6Ovr647GO65  nS3A41k9pccn03J2 MagniberDecrypt.zip
 4/2  gnhnzhu  I0727788KuT5kAqL  sCnHApaa61l5U2R0 MagniberDecrypt.zip
 4/3  hssjfbd  u5f1d693LGkEgX07  kV35Z1K3JB7z6P06 MagniberDecrypt.zip
 4/3  ldolfoxwu  i24720y16f10qJ21  fX5U9Z6A2j8ZUvkO MagniberDecrypt.zip
 4/3  zskgavp  nuu9WO56Gc0N5hn7  ASY0d6dlyrEH6385 MagniberDecrypt.zip
 4/3  gwinpyizt  dcQOje3dzW469125  T5438Nl5VI62XxM8 MagniberDecrypt.zip

看起来安全专家在很短的间隔时间内发布了新版本。因此,这些信息可能很快就会过时。欲查看最新版本,请查看 AhnLab 的网站

Magniber 病毒解密

Cerber 和 Magniber 类比

虽然它使用了相同的支付网站,但它的源代码似乎不如 Cerber 那么复杂。因此,这个病毒是有希望被解密的。渗入系统后,这个恶意软件会对数据进行编码并附加 .ihsdj 或 .kgpvwnr 扩展名。此外,它会打开名为 READ_ME_FOR_DECRYPT_[id].txt 文件的勒索文件。

它含有典型的文本,说明了所有文档、照片和数据库都已加密。然而,与原始的 Cerber 字条相比,书面文字的方式略有不同。

此外,Magniber 病毒显示出一种独特的特征。通常,勒索软件威胁会对受感染设备指派用户的ID。此外,受侵入的用户必须将代码输入指定的 Tor 网站以便继续进行数据解密。

另一方面,Magniber 加密恶意软件将用户引导至含有受害人 ID 的子域,该子域含有付款网站。它分为四个部分:主页、支援、免费解密 1 份文件,以及重新加载内容页面。

加密病毒在查找可加密文件时也会避开某些目录。与勒索软件一样,它会跳过程序文件、回收站、本地设置和某些 AppData 子文件夹。此外,如果恶意软件识别到不同受害者 ID 的 URL,那该恶意软件就会更改比特币付款地址。

Magnitude 漏洞利用工具包被用来传播加密病毒

如前所述,目前恶意软件是借助 Magnitude 漏洞利用工具包传播的。它针对了 Internet Explorer 中的特定 CVE-2016-0189 漏洞,这个漏洞已经被修复。因此,如果你使用的是浏览器,请确保它已更新。

如果漏洞利用工具包在用户的浏览器中检测到漏洞,那么工具包会将该漏洞导向根据受害者地理位置进行自定义的欺诈性网站。这些网站通常会含有一个链接,它被激活后会下载恶意软件并开始 Magniber 劫持。

目前,这个恶意软件只针对韩国,但可能很快它就会在其他东亚国家,例如日本网站扩展其活动。因此,请赶快移除 Magniber。

消除 Magniber 病毒然后将文件复原

虽然恶意软件一直想让人相信它是最新的 Cerber 版本,但操作模式和源代码的差异引发了对开发人员是否相同的猜测。虽然安全专家表示恶意软件实际上是 Cerber,但其不太精细的源代码与这个说法出现矛盾。

无论如何,消除恶意软件应该是你的首要任务。不要将时间浪费在手动干预病毒。请安装如 ReimageMalwarebytes MalwarebytesCombo Cleaner 的安全工具以删除 Magniber 病毒。这个病毒可能会阻止你启动安全软件。在这种情况下,以安全模式先启动系统后才启动程序。下面的说明解释了如何操作的进一步指示。只有在完成 Magniber 移除后,才能继续进行数据复原。

优惠
现在就行动!
下载
Reimage (移除工具) 快乐
保证
下载
Reimage (移除工具) 快乐
保证
Microsoft Windows兼容 Supported versions OS X兼容 Supported versions
如果失败了,该怎么办呢?
如果您无法使用  Reimage 来移除病毒损坏,请提交问题 给我们的支援团队,并尽可能提供详细的信息。
建议使用 Reimage 来移除病毒损坏。 免费的扫描程序可以让你查看你的计算机是否受到感染。如果你需要移除恶意软件,你必须购买恶意软件移除工具 Reimage 的许可版。
快照
快照

手动Magniber病毒移除指南:

关于作者

Alice Woods
Alice Woods

如果这个移除指南对你有帮助,你也对我们的服务感到满意,请考虑捐助我们以便将这个服务延续下去,即使只是一小笔捐款,我们也将感激不尽。

联系 Alice Woods
关于 Esolutions 公司

来源:https://www.2-spyware.com/remove-magniber-ransomware-virus.html

其他语言的移除指南