移除 Magniber 病毒 (移除指南) - 更新于 2018 年 7月
Magniber病毒移除指南
什么是Magniber 勒索病毒?
Magniber 勒索软件是一种网络威胁,它会锁住个人文件,要求支付赎金才提供解密密钥
Magniber 是勒索软件,它于 2017年 底首次攻击受害者。它的名字取自 Magnitude(由于恶意软件是在 Magnitude 漏洞利用工具包的帮助下传播)及 Cerber。这个加密病毒是使用 AES-128 加密算法来加密数据的,然后它会添加含有 5 到 9 个字母的文件扩展名,最新的变种则使用了 .ndpyhss 为扩展名。加密后不久,勒索软件会置放一份用英文或韩文书写的勒索字条,让受害者知道他们需要支付 0.2BTC 的文件释放费用,后来又将费用提高到 0.4BTC。
| 概要 | |
| 名称 | Magniber 勒索软件 |
|---|---|
| 类型 | 加密病毒 |
| 相关病毒 | Cerber 病毒 |
| 所用的漏洞工具 | Magnitude 漏洞利用工具包 |
| 所要求的赎金 | 0.2 BTC;五天内提高至 0.4BTC |
| 所使用的扩展 |
.fprgbk; .ihsdj; .kgpvwnr; .vbdrj; .skvtb; .vpgvlkb; .dlenggrl; .dxjay; .fbuvkngy; .xhspythxn; .demffue; .mftzmxqo; .qmdjtc; .wmfxdqz; .ndpyhss |
| 症状 | 文件被加密 |
| 分布方法 | 利用 Internet Explorer 里 CVE-2016-0189 的漏洞 |
| 消除方法 | 下载及安装 FortectIntego、SpyHunter 5Combo Cleaner 或 Malwarebytes。在安全模式下重新启动计算机 |
| 解密方法 | 提供于此处(最新版本)以及此处 |
Magniber 网络威胁于 2017 年 10 月被发现通过 Magnitude 漏洞利用工具包传播。这个漏洞利用工具包之前已被 Cerber 病毒所用。然而,这并不是它与这个臭名昭着的勒索软件唯一相似的地方。
这个加密病毒专门针对韩国的计算机用户。有趣的是,如果它检测到韩语之外的其他文件,它会自行终止(通过删除其 ping.exe 可执行文件)。
这个恶意软件使用了 AES 密码。2018 年 3 月底之前,在没有 AES 密钥的情况下几乎不可能解密文件。然而,韩国网络安全专家成破解了大部分 Magniber 勒索软件版本的代码。
这个事实引发了对朝鲜黑客的怀疑,认为恶意软件可能是他们制造的。考虑到这个国家的网络能力,这种假设并非毫无根据。然而,这个说法仍然需要证据。
Magniber 勒索软件主要的目的是将文件加密然后要求受害者支付赎金,这个恶意软件已多次更新,最新的更新于 2018 年 6 月被发现。最新版本添加了.ndpyhss 文件扩展名并置放了README.txt 的勒索字条。
每个新变种都会附加不同的文件扩展名。目前,恶意软件使用了以下这些后缀来锁住文件:
- .fprgbk;
- .ihsdj;
- .kgpvwnr;
- .vbdrj;
- .skvtb;
- .vpgvlkb;
- .dlenggrl;
- .dxjay;
- .fbuvkngy;
- .xhspythxn;
- .demffue;
- .mftzmxqo;
- .qmdjtc;
- .wmfxdqz;
- .ndpyhss
加密数据后,恶意软件会建议购买 My Decryptor 以还原损坏的文件。目前,其费用为 0.2 比特币(1140 美元),五天内它即翻倍至 0.4。由于恶意软件是可以解密的,因此请不要付款;相反的,你应该专注于 Magniber 的移除。FortectIntego 或 Malwarebytes 是一种可靠的安全软件,有助于快速消除恶意软件。
破解恶意代码的尝试
移动安全公司 Zimperium 的研究员 Simone Margaritelli (又名 “evilsocket”)成功创建了一个解密工具 ,这个工具可能对文件受到 Magniber 攻击后有助于文件的还原。然而,欲使用这个工具,受害者必须知道 AES 密钥。
根据研究人员的说法,如果受害者不是从韩国 IP 地址感染的,或者他们无法连接到命令与控制 (C&C) 服务器,那解密器应该可以正常操作,但这些人应该知道包含在勒索软件代码中的硬编码密钥和 IV。
一支位于韩国的安全专家团队发布了新的解密器
在 2018 年 3 月底,AhnLab 的安全研究人员为不同类型的 Magniber 病毒发布了多个解密器,他们是基于黑客遗漏的加密错误而建立了复原工具的功能。
你可以在以下的表里看到哪些版本的 Magniber 勒索软件是现在就可以解密的:
| 解码器发布日期 | 可以复原的文件扩展 | 受害者密钥 | Magniber 付款网站矢量 | 下载链接 |
| 3/30 | kympzmzw | Jg5jU6J89CUf9C55 | i9w97ywz50w59RQY | MagniberDecrypt.zip |
| 3/30 | owxpzylj | u4p819wh1464r6J9 | mbfRHUlbKJJ7024P | MagniberDecrypt.zip |
| 3/30 | prueitfik | EV8n879gAC6080r6 | Z123yA89q3m063V9 | MagniberDecrypt.zip |
| 3/31 | rwighmoz | BF16W5aDYzi751NB | B33hQK9E6Sc7P69B | MagniberDecrypt.zip |
| 3/31 | bnxzoucsx | E88SzQ33TRi0P9g6 | Bo3AIJyWc7iuOp91 | MagniberDecrypt.zip |
| 3/31 | tzdbkjry | n9p2n9Io32Br75pN | ir922Y7f83bb7G12 | MagniberDecrypt.zip |
| 4/1 | iuoqetgb | QEsN9KZXSp61P956 | lM174P1e6J24bZt1 | MagniberDecrypt.zip |
| 4/1 | pgvuuryti | KHp4217jeDx019Uk | A4pTQ6886b401JR5 | MagniberDecrypt.zip |
| 4/2 | zpnjelt | LyAAS6Ovr647GO65 | nS3A41k9pccn03J2 | MagniberDecrypt.zip |
| 4/2 | gnhnzhu | I0727788KuT5kAqL | sCnHApaa61l5U2R0 | MagniberDecrypt.zip |
| 4/3 | hssjfbd | u5f1d693LGkEgX07 | kV35Z1K3JB7z6P06 | MagniberDecrypt.zip |
| 4/3 | ldolfoxwu | i24720y16f10qJ21 | fX5U9Z6A2j8ZUvkO | MagniberDecrypt.zip |
| 4/3 | zskgavp | nuu9WO56Gc0N5hn7 | ASY0d6dlyrEH6385 | MagniberDecrypt.zip |
| 4/3 | gwinpyizt | dcQOje3dzW469125 | T5438Nl5VI62XxM8 | MagniberDecrypt.zip |
看起来安全专家在很短的间隔时间内发布了新版本。因此,这些信息可能很快就会过时。欲查看最新版本,请查看 AhnLab 的网站。
Cerber 和 Magniber 类比
虽然它使用了相同的支付网站,但它的源代码似乎不如 Cerber 那么复杂。因此,这个病毒是有希望被解密的。渗入系统后,这个恶意软件会对数据进行编码并附加 .ihsdj 或 .kgpvwnr 扩展名。此外,它会打开名为 READ_ME_FOR_DECRYPT_[id].txt 文件的勒索文件。
它含有典型的文本,说明了所有文档、照片和数据库都已加密。然而,与原始的 Cerber 字条相比,书面文字的方式略有不同。
此外,Magniber 病毒显示出一种独特的特征。通常,勒索软件威胁会对受感染设备指派用户的ID。此外,受侵入的用户必须将代码输入指定的 Tor 网站以便继续进行数据解密。
另一方面,Magniber 加密恶意软件将用户引导至含有受害人 ID 的子域,该子域含有付款网站。它分为四个部分:主页、支援、免费解密 1 份文件,以及重新加载内容页面。
加密病毒在查找可加密文件时也会避开某些目录。与勒索软件一样,它会跳过程序文件、回收站、本地设置和某些 AppData 子文件夹。此外,如果恶意软件识别到不同受害者 ID 的 URL,那该恶意软件就会更改比特币付款地址。 
Magnitude 漏洞利用工具包被用来传播加密病毒
如前所述,目前恶意软件是借助 Magnitude 漏洞利用工具包传播的。它针对了 Internet Explorer 中的特定 CVE-2016-0189 漏洞,这个漏洞已经被修复。因此,如果你使用的是浏览器,请确保它已更新。
如果漏洞利用工具包在用户的浏览器中检测到漏洞,那么工具包会将该漏洞导向根据受害者地理位置进行自定义的欺诈性网站。这些网站通常会含有一个链接,它被激活后会下载恶意软件并开始 Magniber 劫持。
目前,这个恶意软件只针对韩国,但可能很快它就会在其他东亚国家,例如日本网站扩展其活动。因此,请赶快移除 Magniber。
消除 Magniber 病毒然后将文件复原
虽然恶意软件一直想让人相信它是最新的 Cerber 版本,但操作模式和源代码的差异引发了对开发人员是否相同的猜测。虽然安全专家表示恶意软件实际上是 Cerber,但其不太精细的源代码与这个说法出现矛盾。
无论如何,消除恶意软件应该是你的首要任务。不要将时间浪费在手动干预病毒。请安装如 FortectIntego 或 SpyHunter 5Combo Cleaner 的安全工具以删除 Magniber 病毒。这个病毒可能会阻止你启动安全软件。在这种情况下,以安全模式先启动系统后才启动程序。下面的说明解释了如何操作的进一步指示。只有在完成 Magniber 移除后,才能继续进行数据复原。
手动Magniber病毒移除指南
使用 Safe Mode with Networking 来移除 Magniber
-
步骤1: 将你的计算机重新启动至 Safe Mode with Networking
Windows 7 / Vista / XP- 点击 Start → Shutdown → Restart → OK.
- 当你的计算机处在活跃的状态时,开始点击 F8 几次直至你看到 Advanced Boot Options 窗口
-
从列表中选择 Safe Mode with Networking
Windows 10 / Windows 8- 在 Windows 登录窗口点击 Power 按钮。现在点击并按住键盘上的 Shift,然后点击 Restart。.
- 现在选择 Troubleshoot → Advanced options → Startup Settings 然后再点击
-
一旦你的计算机处在活跃的状态,选择 Startup Settings 窗口里的 Enable Safe Mode with Networking
-
步骤2: 移除 Magniber
请使用你那个已受感染的账户登录并打开网页浏览器。下载 FortectIntego 或其他合法的反间谍软件程序。在运行完整的系统扫描之前请先更新程序,将属于勒索软件的恶意文件移除,并完成整个Magniber 的移除过程。
如果你的勒索软件正在封锁 Safe Mode with Networking,请试试看其他方法。
使用 System Restore 来移除 Magniber
如果你无法以安全模式启动设备,请执行系统还原。它应该会授予你访问安全工具的权限,这样你就能够移除 Magniber 病毒了。
-
步骤1: 将你的计算机重新启动至 Safe Mode with Command Prompt
Windows 7 / Vista / XP- 点击 Start → Shutdown → Restart → OK.
- 当你的计算机处在活跃的状态时,开始点击 F8 几次直至你看到 Advanced Boot Options 窗口
-
从列表中选择 Command Prompt
Windows 10 / Windows 8- 在 Windows 登录窗口点击 Power 按钮。现在点击并按住键盘上的 Shift,然后点击 Restart。.
- 现在选择 Troubleshoot → Advanced options → Startup Settings 然后再点击
-
一旦你的计算机处在活跃的状态,选择 Startup Settings 窗口里的 Enable Safe Mode with Command Prompt
-
步骤2: 将你的系统文件和设置还原
-
一旦 Command Prompt 窗口显示时,输入 cd restore 并点击 Enter。
-
现在输入 rstrui.exe 然后再点击 Enter 一次。.
-
当显示新的窗口时,点击 Next 然后选择在 Magniber 渗入之前的还原点,完成后点击 Next。
-
现在请点击 Yes 以启动系统还原。
-
一旦 Command Prompt 窗口显示时,输入 cd restore 并点击 Enter。
额外指示:恢复你的数据
以上的指南将帮你从你的计算机移除 Magniber。欲恢复被加密的文件,我们建议使用由 wubingdu.cn 安全专家准备的详细指南。如果你知道 AES 密钥,官方 Magniber 解密器可以帮助复原文件。否则,你将无法利用此工具,但是你可以尝试其他复原方法。
如果你的文件已被 Magniber 加密,你可以使用几个方法来将它们还原:
Data Recovery Pro 方法
请注意,备份文件至关重要,尤其是在勒索软件渗入时。如果你没有将它们备份,请尝试此程序,它可能有助于你复原一些文件。
- 下载 Data Recovery Pro;
- 按照安装 Data Recovery 的步骤并在你的计算机上安装这个程序;
- 将它启动并扫描计算机以找出被 Magniber 勒索软件加密的文件;
- 还原它们
Shadow Explorer 的用处
这个实用程序基于卷影卷副本来创建原始文件的副本,这些副本由操作系统自动生成。没有信息显示 Magniber 加密恶意软件是否会提前删除它们,但是基于 Cerber 能将它删除的功能,这个病毒也可能在将来这样做。
- 下载 Shadow Explorer (http://shadowexplorer.com/);
- 按照 Shadow Explorer 安装向导然后将这个应用程序安装在你的计算机;
- 启动程序然后移到左上角的下拉菜单并选择被加密数据的硬盘,查看那儿有些什么文件夹;
- 右键点击你想要还原的文件夹然后选择 “Export”,你也可以选择你要将它储存的地方。
Magniber 解密器
正如我们已经提到的,韩国安全团队成功创建了几个 Magniber 病毒的解密器。你可以在上面找到完整列表,或从官方网站下载。
如果 AhnLab 创建的解密器不适合你,你可以尝试使用旧版本,但它只能解密由勒索软件硬编码版本所编码的文件。这意味着你必须知道使用解密软件所需的密钥和 IV。你可以在这里下载解密器。
最后,你应该考虑采取加密勒索软件的防护措施。欲在你的计算机防止Magniber 或其他勒索软件的侵入,请使用信誉良好的反间谍软件,比如 FortectIntego、SpyHunter 5Combo Cleaner 或 Malwarebytes
向你推荐
不要让政府监视你
政府在跟踪用户数据和监视公民方面存在许多问题,因此你应该考虑到这一点,并了解有关可疑信息收集实践的更多信息。请在互联网上完全匿名以避免任何不必要的政府跟踪或监视。
你可以选择不同的位置,上网并访问所需的任何资料,而不受到特殊内容的限制。通过使用 Private Internet Access VPN.,你可以轻松享受互联网连接,并且不会遭到黑客入侵。
控制政府或任何其他不需要方可以访问的信息,并且可以在不被监视的情况下在线浏览。即使你并没有参与非法活动,或者你信任你所选择的服务和平台,你也要对自己的安全性保持怀疑,并通过使用 VPN 服务采取预防措施。
备份文件以便在被恶意软件攻击后可以使用
由于网络感染或自己的错误行为,计算机用户可能会遭受各种各样的损失。恶意软件造成的软件问题,或加密导致的直接数据丢失,都可能会导致设备出现问题或永久损坏。如果你拥有适当的最新备份,那你可以在发生此类事件后轻松还原数据,继续工作。
在设备上进行任何更改后,创建新的备份更新非常重要,这样你就可以回到恶意软件更改任何内容或设备问题导致数据或性能损坏时的工作点。请持续这种行为,让文件备份成为你每天或每周的习惯。
当你拥有每个重要文档或项目的先前版本时,你就不会感到沮丧和崩溃,因为当恶意软件突然出现时,它就能派上用场。请使用 Data Recovery Pro 进行系统还原。
如果这个移除指南对你有帮助,你也对我们的服务感到满意,请考虑捐助我们以便将这个服务延续下去,即使只是一小笔捐款,我们也将感激不尽。