Skala niebezpieczeństwa:  
  (99/100)

Wirus ransomware Magniber. Jak się go pozbyć? (Poradnik usuwania)

stworzone przez Alice Woods - - | Rodzaj: Ransomware

Ransomware Magniber to cyberzagrożenie blokujące pliki osobiste i domagające się okupu w zamian za klucz deszyfrujący

The image reflecting Magniber payment site

Magniber to ransomware, które po raz pierwszy zaatakowało ofiary pod koniec 2017 roku. Jego nazwa pochodzi od słów Magnitude (ponieważ malware rozpowszechnia się z pomocą zestawy exploitów Magnitude) oraz Cerber. Ten krypto-wirus wykorzystuje algorytm szyfrujący AES-128, by szyfrować dane i dodaje rozszerzenie składające się od 5 do 9. Najnowsza odmiana wykorzystuje rozszerzenie .ndpyhss. Chwilę po zaszyfrowaniu, ransomware zostawia żądanie okupu napisane w języku angielskim bądź koreańskim i informuje ofiary, że za odblokowanie plików żądają 0,2 Bitcoina – kwota, która po kilku dniach się podwaja.

PODSUMOWANIE
Nazwa Ransomware Magniber
Typ Kryptowirus
Powiązany z Wirus Cerber
Wykorzystywane luki Zestaw exploitów Magnitude
Żądany okup 0.2 BTC; 0.4BTC po pięciu dniach
Wykorzystywane rozszerzenia plików

.fprgbk; .ihsdj; .kgpvwnr; .vbdrj; .skvtb; .vpgvlkb; .dlenggrl; .dxjay; .fbuvkngy; .xhspythxn; .demffue; .mftzmxqo; .qmdjtc; .wmfxdqz; .ndpyhss

Objawy Zaszyfrowane pliki
Dystrybucja Luka CVE-2016-0189 w Internet Explorerze
Eliminacja Pobierz i zainstaluj Reimage, Malwarebytes Malwarebytes lub Plumbytes Anti-MalwareNorton Internet Security. Uruchom komputer w trybie awaryjnym
Dekrypcja Dostępna tutaj (nowsze wersje) i tutaj

Magniber został zauważony przy rozpowszechnianiu się poprzez zestaw exploitów Magnitude w październiku 2017 roku. Zestaw ten był już wykorzystywany przez wirusa Cerber. Nie jest to jednak jedyne podobieństwo do niesławnego ransomware’a..

Wirus ten atakuje wyłącznie komputery z Korei Południowej. Interesuje fakt, że malware eliminuje się (usuwając własny plik wykonywalny ping.exe) p wykryciu innego języka niż koreański.

Magniber - the deadly virus

Malware korzysta z szyfru AES. Przed końcem marca 2018 roku złamanie kodu było niemożliwe bez klucza deszyfrującego. Eksperci z Korei Południowej zdołali jednak złamać kod większości wersji Magnibera.

To wzbudza podejrzenie, że za atakiem mogą stać hakerzy z Korei Północnej. Nie jest to bezpodstawne z powodu cybermożliwości wspomnianego państwa Teoria ta wciąż jednak potrzebuje dowodów.

Magniber został stworzony, by szyfrować pliki i domagać się okupu. Malware ten został zaktualizowany kilka razy – najnowsza odmiana została zauważona w czerwcu 2018 roku. Wersja ta dodaje rozszerzenie pliku .ndpyhss i zostawia żądanie okupu w pliku README.txt.

Każdy z nowych wariantów dodaje inne rozszerzenie pliku. Obecnie, malware blokuje pliki nadając następujące rozszerzenia:

  • .fprgbk;
  • .ihsdj;
  • .kgpvwnr;
  • .vbdrj;
  • .skvtb;
  • .vpgvlkb;
  • .dlenggrl;
  • .dxjay;
  • .fbuvkngy;
  • .xhspythxn;
  • .demffue;
  • .mftzmxqo;
  • .qmdjtc;
  • .wmfxdqz;
  • .ndpyhss

Magniber ransomware encrypts all files

Po zaszyfrowaniu danych, malware oferuje zakup aplikacji My Decryptor w  celu odzyskania uszkodzonych plików. Obecnie, kosztuje ona 0,2 bitcoiny (ok 1140 dolarów). Kwota ta podwoi się po pięciu dniach. Nie myśl o zapłacie, ponieważ malware to można rozszyfrować. W zamian, skup się na usunięciu Magnibera. Reimage bądź Plumbytes Anti-MalwareNorton Internet Security są dobrymi aplikacjami, które mogą pomóc w szybkiej eliminacji malware.

Poprzednie próby złamania złośliwego kodu

Simone “evilsocket” Margaritelli, badasz z firmy Zimperium zajmującej się ochroną mobilną zdołał stworzyć narzędzie, które może pomóc przywrócić pliki po ataku Magnibera. By go użyć, ofiara musi jednak znać klucz AES.

Według badacza, dekrypter powinien działać, jeśli ofiara została zaatakowana z niekoreańskiego adresu IP bądź gdy wirus nie może się połączyć se swoim serwerem kontroli. Ci ludzie powinni znać domyślny klucz, który powinien znajdować się w kodzie wirusa.

Zespół ekspertów z Korei Południowej wydał nowe dekryptery

Pod koniec marca 2018, badacze z AhnLab wydali wiele dekrypterów do różnych odmian wirusa Magniber. Narzędzia ta działają na podstawie błędu szyfrowania pozostawionego przez hakerów.

Poniżej możesz zobaczyć tabelę pokazującą, jakie wersje Magnibera mogą być już rozszyfrowywalne:

 Data wydania dekryptera  Rozszerzenie pliku  Klucz ofiary  Wektor strony opłat  Link do pobrania
 3/30  kympzmzw  Jg5jU6J89CUf9C55  i9w97ywz50w59RQY MagniberDecrypt.zip
 3/30  owxpzylj  u4p819wh1464r6J9  mbfRHUlbKJJ7024P MagniberDecrypt.zip
 3/30  prueitfik  EV8n879gAC6080r6  Z123yA89q3m063V9 MagniberDecrypt.zip
 3/31 rwighmoz   BF16W5aDYzi751NB  B33hQK9E6Sc7P69B MagniberDecrypt.zip
 3/31  bnxzoucsx  E88SzQ33TRi0P9g6  Bo3AIJyWc7iuOp91 MagniberDecrypt.zip
 3/31  tzdbkjry n9p2n9Io32Br75pN  ir922Y7f83bb7G12  MagniberDecrypt.zip
 4/1  iuoqetgb  QEsN9KZXSp61P956 lM174P1e6J24bZt1  MagniberDecrypt.zip
 4/1 pgvuuryti   KHp4217jeDx019Uk  A4pTQ6886b401JR5 MagniberDecrypt.zip
 4/2  zpnjelt  LyAAS6Ovr647GO65  nS3A41k9pccn03J2 MagniberDecrypt.zip
 4/2  gnhnzhu  I0727788KuT5kAqL  sCnHApaa61l5U2R0 MagniberDecrypt.zip
 4/3  hssjfbd  u5f1d693LGkEgX07  kV35Z1K3JB7z6P06 MagniberDecrypt.zip
 4/3  ldolfoxwu  i24720y16f10qJ21  fX5U9Z6A2j8ZUvkO MagniberDecrypt.zip
 4/3  zskgavp  nuu9WO56Gc0N5hn7  ASY0d6dlyrEH6385 MagniberDecrypt.zip
 4/3  gwinpyizt  dcQOje3dzW469125  T5438Nl5VI62XxM8 MagniberDecrypt.zip

Eksperci wydają nowe wersje w błyskawicznym czasie – informacje te mogą szybko stracić ważność. By sprawdzić najnowsze wydania, sprawdź stronę AhnLab.

Magniber virus decryption

Podobieństwa Cerbera i Magnibera

Choć wykorzystuje tą samą stronę płatności, kod Magnibera jest dużo mniej rozbudowany niż Cerber. Dlatego też istnieje nadzieja, że wirus ten można złamać. P infiltracji systemu, malware szyfruje dane i dodaje rozszerzenie .ihsdj bądź .kgpvwnr. Co więcej, otwiera też żądanie okupu zwane READ_ME_FOR_DECRYPT_[id].txt.

Dokument ten zawiera typowy tekst wyjaśniający, że wszystkie dokumenty, zdjęcia i bazy danych zostały zaszyfrowane. Sposób pisma nieco jednak różni się, w przeciwieństwie do oryginalnego kodu Cerbera.

Co więcej, Magniber posiada dodatkową funkcję. Zazwyczaj ransomware przydziela odpowiedni identyfikator zainfekowanemu urządzeniu, który ofiary muszą wprowadzić na określonej stronie w Torze w celu odzyskania danych.

Z drugiej strony, Magniber ieruje użytkwników na poddomenę strony płatności, zawierającą ID ofiary. Jest ona podzielona na cztery sekcje: Strona główna, Wsparcie, Rozszyfrowanie jednego pliku za darmo oraz przeładowanie treści.

Ten krypto-wirus unika też określonych lokalizacji w poszukiwaniu plików do szyfrowania. Pomija foldery Program Files, Kosz, ustawienia lokalne i pewne podfoldery Danych Aplikacji. Dodatkowo posiada też zdolność do zmiany adresu portfela bitcoin gdy zidentyfikuje inne ID ofiary.

Zestaw exploitów Magnitude był wykorzystany do rozpowszechniania kryptowirusa

Jak już wcześniej wspomnieliśmy, malware ten rozpowszechnia się z pomocą zestawu exploitów Magnitude. Atakuje on konkretną lukę (CVE-2016-0189) w Internet Explorerze. Luka ta została już naprawiona – jeśli korzystasz z tej przeglądarki upewnij się, że jest ona zaktualizowana.

Jeśli ten zestaw exploitów wykryje lukę w przeglądarce, przekieruje użytkownika na złośliwą stronę dopasowaną do geolokalizacji urządzenia. Strony te często zawierają linki – aktywacja ich pobierze malware i rozpocznie atak Magnibera.

Obecnie malware ten atakuje tylko  Koreę Południową. Może jednak rozwinąć swoją aktywność na inne kraje wschodnioazjatyckie, np. Japonię. Pośpiesz się więc, by usunąć Magnibera.

Usuń wirusa Magniber i przejdź do odzyskiwania pliku

Chociaż malware próbuje przekonać, że jest najnowszą odmianą Cerbera, różnice w działaniu i kodzie źródłowym są przyczyną spekulacji na temat twórców wirusa. Choć badacze mówią, że jest to Cerber, mniej rozbudowany kod źródłowy podważa to twierdzenie.

W każdym razie, usunięcie malware’a powinno być głównym zadaniem. Nie marnuj czasu na zabawę z wirusem. Zainstaluj odpowiednie narzędzie, na przykład Reimage lub Malwarebytes Malwarebytes, aby usunąć wirusa Magniber. W tym wypadku, uruchom system w Trybie Awaryjnym i włącz aplikację. Poniższe instrukcje wyjaśnią, jak tego dokonać. Dopiero po usunięciu Magnibera przzejdź do odzyskiwania danych. 

Możemy mieć związek z dowolnym produktem, który polecamy na naszej stronie. Więcej informacji można znaleźć w Warunkach Użytkowania Pobierając jakiekolwiek oprogramowanie Anty-spyware w celu usunięcia Wirus ransomware Magniber zgadzasz się z naszą Polityką Prywatności oraz Warunkami Użytkowania.
zrób to teraz!
Download
Reimage (usuwanie) Gwarantujemy
zadowolenie
Download
Reimage (usuwanie) Gwarantujemy
zadowolenie
Program jest kompatybilny z Microsoft Windows Program jest kompatybilny z OS X
Co zrobić w przypadku porażki?
Jeżeli nie odniosłeś zamierzonego skutku podczas usuwania infekcji za pomocą Reimage, wyślij swoje pytanie naszej ekipie wsparcia technicznego i przekaż jak najwięcej szczegółów jesteś w stanie.
Polecamy usunąć oprogramowanie Reimage z pomocą oprogramowania Wirus ransomware Magniber. Darmowy skaner oprogramowania pozwoli ci uzyskac informacje odnosnie tego czy twoj komputer zostal zainfekowany czy tez nie. Jezeli chcialbys usunac oprogramowanie malware lepiej bedzie jezeli zakupisz pelna licencje oprogramowania Reimage ktory jest sprawdznym oprogramowaniem do usuwania plikow malware.
Wiecej informacji na temat tego oprogramowania mozesz znalezc w Reimage.
Gazety piszą o Reimage
Alternatywne oprogramowanie
Malwarebytes
Przetestowaliśmy program Malwarebytes jeżeli chodzi o wykrywanie wirusa Wirus ransomware Magniber (2018-09-02)
Alternatywne oprogramowanie
Malwarebytes
Przetestowaliśmy program Malwarebytes jeżeli chodzi o wykrywanie wirusa Wirus ransomware Magniber (2018-09-02)
Wirus ransomware Magniber snapshot
Wirus ransomware Magniber snapshot

Instrukcja ręcznego usuwania wirusa Magniber:

Usuń Magniber korzystająć z Safe Mode with Networking

  • Krok 1: Zresetuj swój komputer Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Kliknij Start Shutdown Restart OK .
    2. Kiedy już włączysz swój komputer, zacznij wciskać przycisk F8 tak długo aż zobaczysz okno Advanced Boot Options
    3. Wybierz $1$s z listy Wybierz 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Wciśnij przycisk Power w oknie logowania oznaczonym Windows. Następnie wciśnij i przytrzmaj Shift, który znajduje się na twojej klawiaturze i wciśnij dodatkowo Restart.
    2. Teraz wybierz Troubleshoot Advanced options Startup Settings a na końcu dodatkowo wybierz Restart
    3. Jak tylko włączysz swój komputer wybierz -Enable Safe Mode with Networking w oknie Startup Settings Wybierz 'Enable Safe Mode with Networking'
  • Krok 2: Usuń Magniber

    Zaloguj się na zainfekowane konto a następnie uruchom przeglądarkę internetową. Pobierz Reimage lub też inny sprawdzony program antyszpiegujący. Zaaktualizuj go przed wykonaniem pełnego skanu systemu a następnie usuń podejrzane pliki powiązane z wirusem ransomware, zakończ usuwanie Magniber.

Jeżeli program ransomware blokuje skorzystanie z Safe Mode with Networking, skorzystaj z innej metody

Usuń Magniber korzystająć z System Restore

Jeśli w jakiś sposób nie możesz uruchomić urządzenia w Trybie Awaryjnym, dokonaj Przywracania Systemu. Powinien on dać Ci dostęp do danego narzędzia – w taki sposób zaś będziesz w stanie usunąć wirusa Magniber.

  • Krok 1: Zresetuj swój komputer Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Kliknij Start Shutdown Restart OK .
    2. Kiedy już włączysz swój komputer, zacznij wciskać przycisk F8 tak długo aż zobaczysz okno Advanced Boot Options
    3. Wybierz $1$s z listy Wybierz 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Wciśnij przycisk Power w oknie logowania oznaczonym Windows. Następnie wciśnij i przytrzmaj Shift, który znajduje się na twojej klawiaturze i wciśnij dodatkowo Restart.
    2. Teraz wybierz Troubleshoot Advanced options Startup Settings a na końcu dodatkowo wybierz Restart
    3. Jak tylko włączysz swój komputer wybierz -Enable Safe Mode with Command Prompt w oknie Startup Settings Wybierz 'Enable Safe Mode with Command Prompt'
  • Krok 2: Przywróć ustawienia fabryczne i pliki systemowe
    1. Jak tylko zobaczysz okno Command Prompt, wpisz cd restore i wybierz Enter Wpisz 'cd restore' bez cudzysłowia a nastepnie wybierz 'Enter'
    2. Teraz wybierz rstrui.exe a nastepnie kliknij Enter jeszcze raz. Wpisz 'rstrui.exe' bez cudzysłowia a nastepnie wybierz 'Enter'
    3. Kiedy pokaże ci się nowe okno wybierz Next a nastepnie wybierz punkt przywracania systemu, który wypada przed zainstalowaniem Magniber. Zaraz po tym wybierz $3$s. Kiedy pojawi się okno 'System Restore' wybierz 'Next'. Wybierz punkt przywracania systemu i wybierz 'Next'
    4. Teraz wybierz Yes aby rozpocząć przywracanie systemu Kliknij 'Yes' i rozpocznij przywracanie systemu.
    Jak tylko przywrócisz system do poprzednich ustawien, pobierz na swoj komputer program Reimage i z jego pomoca dokonaj skanowania swojego systemu, upewnij się że udało ci sie usunąć oprogramowanie Magniber

Bonus: przywróć swoje dane

Poradnik zaprezentowany powyżej powinien pomóc ci w usunieciu oprogramwania Magniber z twojego komputera. Celem przywrócenia zaszyfrowanych danych prosze skorzystaj z dokladnego poradnika przygotowanego przez naszych ekspertow do spraw bezpieczenstwa usunwirusa.pl

Oficjalny dekrypter Magniber może pomóc przywrócić plik, jeśli znasz klucz AES. W przeciwnym wypadku nie będziesz mógł wykorzystać tego narzędzia. Możesz jednak spróbować alternatywnych metod odzyskiwania danych.

Jezeli twoje pliki zostaly zaszyfrowane przez Magniber mozesz skorzystac z podanych metod aby je przywrocic

Metoda Data Recovery Pro

Zauważ, że tworzenie kopii zapasowych plików jest ważne – szczególnie w czasach ataków ransomware. Jeśli nie stworzyłeś takich, spróbuj tej aplikacji – może ona pomóc odzyskać część plików.

  • Pobierz Data Recovery Pro (https://usunwirusa.pl/download/data-recovery-pro-setup.exe);
  • Zapoznaj się z nastepującymi krokami Data Recovery a nastepnie zainstaluj program na swoim komputerze.
  • Uruchom go a nastepnie przeskanuj swoj zaszyfrowany komputer w poszukiwaniu Magniber.
  • Przywróć je

Użyteczność Shadow Explorera

Narzędzie to tworzy kopie oryginalnych plików na podstawie ukrytych kopii woluminu tworzonych przez system operacyjny. Nie ma informacji, czy Magniber je usuwa. Biorąc jednak pod uwagę możliwości Cerbera, wirus ten także może to czynić w przyszłości

  • Pobierz Shadow Explorer (http://shadowexplorer.com/);
  • W odniesieniu do manadzera instalacji Shadow Explorer po prostu postepuj z pozostalymi krokami instalacji.
  • Uruchom program, przejdz przez menu a nastepnie w górnym lewym roku kliknij dysk z zaszyfronwanymi danymi. Sprawdz jakie wystepuja tam foldery
  • Kliknij prawym przyciskiem na folder ktory chcesz przywrocic i wybierz “Export”. Nastepnie wybierz gdzie chcesz go skladowac.

Dekryptery Magnibera

Jak wspomnieliśmy, zespół badaczy z Korei Południowej zdołał stworzyć kilka dekrypterów wirusa Magniber. Możesz znaleźć ich pełną listę na oficjalnej stronie.

Jeśli dekrypery stworzone przez AhnLab nie działają jednak, możesz spróbować starszej wersji. Pomoże ona jednak rozszyfrować pliki zaszyfrowane przez hardkodowaną wersję ransomware’a. Znaczy to, że musisz znać klucz i ID niezbędne do wykorzystania oprogramowania. Możesz pobrać ten dekrypter tutaj.

O autorze

Alice Woods
Alice Woods

Jeżeli ten darmowy poradnik usuwania plików pomógł ci i jesteś zadowolony z działania naszego serwisu, prosimy o rozważenie dotacji, aby serwis mógł pozostać aktywny. Nawet najmniejsze sumy są mile widziane.

Skontaktuj się z autorem
O firmie Esolutions

Źródło: https://www.2-spyware.com/remove-magniber-ransomware-virus.html

Poradniki w innych językach