11月10日消息，Magniber是一种利用IE漏洞的无文件勒索病毒，它此前对众多韩国用户造成严重损害。如果相关安全部门无法在漏洞发生初期发现并加以阻断，则很难防止其进一步感染，这使得安全软件难以检测。

　　Magniber勒索软件自2021年3月15日以来使用CVE-2021-26411漏洞进行分发，直到最近被发现改为CVE-2021-40444漏洞。

　　值得一提的是，这是9月14日微软推送安全补丁后的最新漏洞，目前大部分用户都有被感染的风险。（仅在Win10/Win11环境中发生变化，其他环境中仍在利用CVE-2021-26411）。

　　现有安全人员发现，Magniber勒索病毒近期攻击事件频发，全国多地都有网民受到影响。

　　360安全人员透露，该勒索病毒利用CVE-2021-40444漏洞进行传播，还使用PrintNightmare漏洞进行提权，危害程度更甚以往。根据分析，该病毒主要通过色情网站的广告位传播。

　　自11月5日开始，他们便收到了大量感染Magniber勒索病毒的求助，同时检测到CVE-2021-40444漏洞攻击拦截量有较明显上涨。经分析追踪发现，这是一起挂马攻击团伙，从使用的技术、攻击手法可以看出，这也是一个技术精良的黑客组织，同时由于此次挂马网站主要面向国内，对普通网民都有重大影响。

　　安全人员表示，该黑客团伙主要通过在色情网站（也存在少部分其它网站）的广告位上，投放植入带有攻击代码的广告，当用户访问到该广告页面时，就有可能中招，感染勒索病毒。

　　据悉，漏洞出现时，该勒索病毒会在下图路径中创建一个名为calc.inf的文件。Magniber勒索软件随后由一个名为control.exe的普通Windows进程加载。

　　2021/09/16：%SystemDrive%:Users%UserName%AppDataLocalTempLowcalc.inf

　　2021/09/17：%SystemDrive%:Users%UserName%AppDataLocalTempLowwinsta.inf

　　下图展示了漏洞发生时iexplore.exe->control.exe形式的调用过程以及calc.inf文件的操作过程。

　　下图显示了文件名为calc.inf的Magniber的分布是在2021年9月16日09:00之后开始的，V3检测日志大约有300个案例。

　　受影响的操作系统

　　Windows 8.1、RT 8.1

　　Windows 10：1607、1809、1909、2004、20H2、21H1

　　Windows Server 2008 SP 2、2008 R2 SP 1

　　Windows Server 2012、2012 R2

　　Windows Server 2016、2019、2022

　　Windows Server 2004、20H2版