Az Edge és a Chrome böngészők frissítésének álcázza magát egy zsarolóvírus

A Microsoft Edge és a Google Chrome hiteles frissítésének tűnik a Magniber zsarolóvírus.

A Magniber zsarolóvírus egyáltalán nem új kártevő, az Internet Exploreren keresztül kiaknázott sérülékenységeken át már terjesztik egy ideje. A dél-koreai AhnLab Security Emergency Response Center szakemberei azonban felfedezték, hogy a Magnibert már a Microsoft Edge és a Google Chrome böngészők hiteles frissítésének is álcázzák a támadók.

Az Edge és Chrome böngészőt futtató PC-ket böngészőfrissítő csomag formájában fertőzi meg a zsarolóvírus. Egy aláírt .appx frissítőcsomagot, hiteles tanúsítvánnyal tesznek közzé – ezt a Windows is hitelesként ismeri fel, és elindítja a telepítését. Ezután a csomag egy .dll és egy .exe fájlt hoz létre a védett C:\Progam Files\WindowsApps könyvtárban. Ezután az EXE betölti a DLL-t, elindít egy funkciót, amely letölti és dekódolja magát a zsarolóvírust. A memóriából futva ez már titkosít minden fájlt az érintett PC-n, majd megjelenik a pénzt követelő váltságüzenet.

Fájlokat állítólag nem feltétlenül lop a Magniber, de jelenleg nem lehet feloldani a titkosítását, a fizetésért cserébe pedig nem biztos, hogy elküldik a támadók a feloldókulcsot. Éppen ezért érdemes óvatosnak lenni, már az aláírt .appx fájlok is kártékonyak, ha nem megfelelő forrásból származnak. Elengedhetetlen továbbá a kritikus adatok szakszerű biztonsági mentése és a naprakész végpontvédelmi szoftver használata is.

Azóta történt

Előzmények