爱逛“簧网”的老手注意：新式勒索病毒来袭

近年来，随着互联网的快速发展，各种病毒、木马也在不断肆意传播，各种恶意程序层出不穷，给我们的日常生活带来了许多的麻烦。

近期，360安全大脑的安全人员发现，互联网频频发生 Magniber 勒索病毒攻击事件，全国多地的网民都因此受到影响。360提醒广大网友及时做好漏洞防护，保护个人数据安全。

据悉，Magniber 是一种利用 IE 漏洞的无文件勒索病毒，此前它已经对很多的韩国用户造成了严重损害。

若相关安全部门没有在漏洞发生初期就发现并将其阻断，否则很难防止其进一步感染，这使得安全软件难以检测。

经安全人员发现，Magniber 勒索软件实际上自2021年3月15日起便开始使用 CVE-2021-26411漏洞进行分发，直到最近才被发现改为 CVE-2021-40444漏洞。

鉴于这是针对9月14日后微软推送安全补丁后出现的最新漏洞发起的攻击，目前大部分用户都面临着被感染的风险。

当然，Magniber 勒索软件也不仅只在 Win10/Win11 环境中发生变化，在其他环境中也可以对 CVE-2021-26411漏洞进行利用 。

据360安全人员透露，该勒索病毒不仅利用 CVE-2021-40444 漏洞进行传播，还使用 PrintNightmare 漏洞进行提权，危害程度比以往更大。

360安全团队表示，360反勒索服务自11月5日便开始收到大量感染 Magniber 勒索病毒用户的求助，同时还检测到 CVE-2021-40444漏洞攻击拦截量有明显的上涨。

经360安全团队分析追踪，从使用的技术、攻击手法可以发现，Magniber 病毒的背后有着一个技术精良的黑客组织，此次挂马网站主要是瞄准国内用户，因此对很多普通网民都有重大影响。

安全人员还表示，该黑客团伙主要是通过在黄网及其它网站的广告位投放植入带有攻击代码的广告来进行传播。

只要用户访问到挂马页面，即使用户未点击广告，部分挂马网站页面也会自动使用新标签页打开页面上的广告，从而触发漏洞利用代码执行。

当电脑的漏洞出现时，Magniber 勒索病毒就会在下面这些路径中创建一个名为 calc.inf 的文件，Magniber 勒索软件然后就会由一个名为 control.exe 的普通 Windows 进程加载。

下图展示的则是电脑的漏洞发生时 iexplore.exe->control.exe 形式的调用过程以及 calc.inf 文件的操作过程。

以下显示的是 Magniber 以文件名 calc.inf 进行分布的时间，它大概是从2021年9月16日09:00之后开始的，V3 检测日志大约就有 300 个案例。

此次受到影响的操作系统分别有以下这些：

Windows 8.1、RT 8.1

Windows 10：1607、1809、1909、2004、20H2、21H1

Windows Server 2008 SP 2、2008 R2 SP 1

Windows Server 2012、2012 R2

Windows Server 2016、2019、2022

Windows Server 2004、20H2 版

截止目前，360安全卫士仍然还是能够拦截到约500次/时的挂马广告页面访问。在漏洞拦截量方面，最高单日已经超过了1000次。

目前，360产品针对新式勒索病毒 Magniber 已集成了针对 CVE-2021-40444的微补丁。

面对新式勒索病毒Magnibe攻击，360安全大脑建议广大用户不仅要及时安装安全补丁来杜绝漏洞攻击，也要使用带有恶意网址拦截功能的浏览器对此类挂马网站进行拦截。

同时，有逛小网站习惯的用户们，也要注意在日常使用中使用带有漏洞防护功能的安全产品来拦截病毒攻击，以防自己的电脑被这种新式勒索病毒给盯上。

若有需要，还是建议大家安装杀毒软件，定期为自己的电脑清清毒。