Il ransomware Magniber si diffonde sotto le mentite spoglie di un aggiornamento di Microsoft Edge e Google Chrome

Magniber è un ransomware che viene distribuito utilizzando le vulnerabilità note in Internet Explorer da un po' di tempo. Tuttavia, gli analisti dell'AhnLab Security Emergency Response Center (ASEC), con sede in Corea del Sud, hanno scoperto che Magniber viene distribuito anche tramite Microsoft Edge e Google Chrome, camuffato come un pacchetto di aggiornamento legittimo.

Il ransomware Magniber infetta i PC vulnerabili che eseguono Edge e Chrome sotto forma di un pacchetto di aggiornamento del browser. Il malware viene distribuito come un pacchetto di aggiornamento firmato .appx con un certificato valido. Questo significa che Windows presume che si tratti di un'app valida e procede con l'installazione. Una volta installato, il pacchetto .appx dannoso crea due file - wjoiyyxzllm.dll e wjoiyyxzllm.exe - in un percorso non descritto all'interno di C:Progam FilesWindowsApps. Come la maggior parte degli utenti saprà, questa è in realtà una cartella protetta destinata a contenere solo applicazioni Microsoft Store firmate correttamente.

wjoiyyxzllm.exe carica wjoiyyxzllm.dll ed esegue una strana funzione chiamata "mbenooj". Il file DLL scarica il payload del ransomware e lo decodifica. Dopo questo, il ransomware Magniber viene eseguito dalla memoria di wjoiyyxzllm.exe e cripta i file dell'utente. Viene poi mostrata una nota di riscatto che richiede un trasferimento di denaro per decifrare i dati.

Anche se Magniber non è noto per rubare alcun file, attualmente non è possibile decifrare e ripristinare la funzionalità senza pagare il riscatto (questo presupponendo che la chiave di decrittazione venga fornita al momento del pagamento)

Pertanto, va da sé che gli utenti dovrebbero stare attenti mentre scaricano i file da varie fonti. Anche i file .appx firmati possono essere potenzialmente pericolosi se ottenuti da fonti non verificate. Assicuratevi che i vostri dati critici siano sempre sottoposti a backup e che le definizioni del vostro software di sicurezza siano aggiornate.

È inoltre possibile utilizzare la funzione di accesso controllato alle cartelle di Windows Defender per impedire l'accesso non autorizzato ai file critici. Per ulteriori informazioni, controlla il nostro tutorial su come attivare l'accesso controllato alle cartelle in Windows 10.