Molti utenti sono stati infettati dal ransomware Magniber dopo aver installato quelli che sembravano aggiornamenti cumulativi o di sicurezza di Windows 10 all’interno dei quali era nascosto il malware. La massiccia campagna malevole è iniziata l’8 aprile 2022 e da allora ha visto un’enorme distribuzione in tutto il mondo.
Gli aggiornamenti fasulli vengono distribuiti attraverso siti di crack e warez con vari nomi tra i più comuni (Win10.0_System_Upgrade_Software.msi [VirusTotal] e Security_Upgrade_Software_Win10.0.msi). Altri download, invece, fingono di essere aggiornamenti cumulativi di Windows 10 che non esistono nella Knowledge Base.
Una volta installato, il ransomware Magniber cancellerà le copie shadow dei volumi e crittograferà i file, aggiungendo un’estensione casuale di 8 caratteri. Viene quindi creata una pagina HTML in ogni directory che conterrà le istruzioni per accedere al sito Tor predisposto per il pagamento del riscatto.
Il sito di pagamento è denominato “My Decryptor” e consente a una vittima di decrittografare un file gratuitamente per dimostrare il funzionamento del decryptor, contattare il “supporto” o determinare l’importo del riscatto e l’indirizzo bitcoin per effettuare il pagamento.
Dalle pagine di pagamento visualizzate da BleepingComputer, la maggior parte delle richieste di riscatto sono state di circa $ 2.500 o 0,068 bitcoin.
Questa campagna colpisce principalmente studenti e consumatori piuttosto che imprese, rendendo la richiesta di riscatto troppo costosa per molte vittime.
https://www.punto-informatico.it/ransomware-nascosto-update-windows-10/