【恶意文件通告】Magniber恶意文件通告

近期，深信服终端安全团队发现，一款名为 Magniber 勒索病毒家族正通过破解网站仿冒 Windows10 更新程序进行传播。该程序可以将恶意代码打包到 Windows 安装程序MSI 文件中，在安装过程中执行勒索病毒主体，加密受害主机上的文件，并留下勒索信。

恶意文件被命名为 Win10.0_System_Upgrade_Software.msi ，伪装成 Windows10 的系统更新安装程序。该程序运行后会释放内嵌的具有勒索功能的二进制组件，通过 msiexec 加载执行，之后会将二进制组件删除。整个过程看不到勒索进程独自运行，非常隐蔽。

1. 经过解析，可以看到 msi 文件的 Binary 表中，存在一个名为 f7hsk21tn0 的二进制数据。

2. 在 Action 表中可以看到，Action v0hmumsd80p 的动作就是调用 f7hsk21tn0 内的 b50pxt  导出函数。

3. 将该文件导出后，可以到是一个 64 位的可执行程序，但发现该程序不能正常进行分析调试，该程序的入口点的值为对抗分析被更改为非法数值，导致加载过程中，程序出错。

4. 修复入口点后，加载并运行该程序的 b50pxt 导出函数，行为和直接运行 msi 文件完全一致。将图片、文档等文件的数据内容加密后，后缀改成 gtearevf。最后释放勒索信。

1. 避免到信誉不明的网站下载应用程序。

2. 避免打开来历不明的邮件、链接和附件等，如一定要打开未知文件，请先使用杀毒软件进行扫描；

3. 定期使用杀毒软件进行全盘扫描。

【深信服终端检测响应平台EDR】已支持查杀拦截此次事件使用的病毒文件，请更新软件（如有定制请先咨询售后再更新版本）和病毒库至最新版本，并接入深信服安全云脑，及时查杀新威胁；

【深信服下一代防火墙AF】的安全防护规则更新至最新版本，接入深信服安全云脑，“云鉴” 服务即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】建议用户及时更新规则库，接入深信服安全云脑，并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标，通过将用户安全设备接入安全运营中心，依托于 XDR 安全能力平台和 MSSP 安全服务平台实现有效协同的“人机共智”模式，围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务，快速扩展持续有效的安全运营能力，保障可承诺的风险管控效果。