De fausses mises à jour de Windows 10 sont utilisées pour distribuer le rançongiciel Magniber dans une campagne massive qui a débuté plus tôt ce mois-ci.
Au cours des derniers jours, EZpublish-france.fr a reçu une vague de demandes d’aide concernant une infection par ransomware ciblant les utilisateurs du monde entier.
Lors de nos recherches sur la campagne, nous avons découvert un sujet dans nos forums où les lecteurs signalent avoir été infectés par le rançongiciel Magniber après avoir installé ce que l’on pense être une mise à jour cumulative ou de sécurité de Windows 10.
Ces mises à jour sont distribuées sous différents noms, avec Win10.0_System_Upgrade_Software.msi [VirusTotal] et Security_Upgrade_Software_Win10.0.msi étant le plus courant.
D’autres téléchargements prétendent être des mises à jour cumulatives de Windows 10, en utilisant de faux articles de la base de connaissances, comme indiqué ci-dessous.
System.Upgrade.Win10.0-KB47287134.msi System.Upgrade.Win10.0-KB82260712.msi System.Upgrade.Win10.0-KB18062410.msi System.Upgrade.Win10.0-KB66846525.msi
Sur la base des soumissions à VirusTotal, cette campagne semble avoir commencé le 8 avril 2022 et a connu une distribution massive dans le monde entier depuis lors.
Bien qu’il ne soit pas clair à 100% comment les fausses mises à jour de Windows 10 sont promues, les téléchargements sont distribués à partir de faux sites warez et crack.
La source: EZpublish-france.fr
Une fois installé, le ransomware supprimera les clichés instantanés de volume, puis chiffrera les fichiers. Lors du cryptage des fichiers, le ransomware ajoutera une extension aléatoire à 8 caractères, telle que .gtearevf, comme indiqué ci-dessous.
La source: EZpublish-france.fr
Le ransomware crée également des notes de rançon nommées README.html dans chaque dossier qui contient des instructions sur la façon d’accéder au site de paiement Magniber Tor pour payer une rançon.
La source: EZpublish-france.fr
Le site de paiement Magniber est intitulé « My Decryptor » et permettra à une victime de décrypter un fichier gratuitement, de contacter le « support » ou de déterminer le montant de la rançon et l’adresse bitcoin que les victimes doivent effectuer un paiement.
La source: EZpublish-france.fr
D’après les pages de paiement vues par EZpublish-france.fr, la plupart des demandes de rançon ont été d’environ 2 500 $ ou 0,068 bitcoins.
Magniber est considéré comme sécurisé, ce qui signifie qu’il ne contient aucune faiblesse pouvant être exploitée pour récupérer des fichiers gratuitement.
Malheureusement, cette campagne cible principalement les étudiants et les consommateurs plutôt que les entreprises victimes, ce qui rend la demande de rançon trop coûteuse pour de nombreuses victimes.