在本月早些时候开始的大规模活动中，假的 Windows 10 更新被用于分发 Magniber 勒索软件。

在过去的几天里，ZZQIDC收到了大量有关针对全球用户的勒索软件感染的帮助请求。

在研究该活动时，我们 在我们的论坛中发现了一个主题， 其中读者报告在安装了被认为是 Windows 10 累积或安全更新后被 Magniber 勒索软件感染。

这些更新以各种名称分发，其中 Win10.0_System_Upgrade_Software.msi [ VirusTotal ] 和 Security_Upgrade_Software_Win10.0.msi 是最常见的。

其他下载冒充Windows 10累积更新，使用假知识库文章，如下图。

System.Upgrade.Win10.0-KB47287134.msi
System.Upgrade.Win10.0-KB82260712.msi
System.Upgrade.Win10.0-KB18062410.msi
System.Upgrade.Win10.0-KB66846525.msi
根据向 VirusTotal 提交的信息，该活动似乎已于 2022 年 4 月 8 日开始，自那时以来已在全球范围内大规模分发。

虽然不是 100% 清楚假冒的 Windows 10 更新是如何推广的，但下载是从假冒的warez 和破解网站分发的。

假冒warez和破解网站推Magniber
来源：ZZQIDC
安装后，勒索软件将删除卷影副本，然后加密文件。加密文件时，勒索软件会附加一个随机的 8 字符扩展名，例如 .gtearevf，如下所示。

由 Magniber 加密的文件
来源：ZZQIDC
勒索软件还在每个文件夹中创建名为README.html的赎金记录，其中包含有关如何访问 Magniber Tor 支付网站以支付赎金的说明。

Magniber 赎金记录
来源：ZZQIDC
Magniber 支付网站名为“我的解密器”，允许受害者免费解密一个文件、联系“支持”或确定赎金金额和比特币地址受害者应付款。

Magniber Tor 支付网站
来源：ZZQIDC
从ZZQIDC看到的支付页面来看，大多数赎金要求约为 2,500 美元或 0.068 比特币。

Magniber 被认为是安全的，这意味着它不包含任何可被利用来免费恢复文件的弱点。

不幸的是，该活动主要针对学生和消费者，而不是企业受害者，导致赎金要求对许多受害者来说过于昂贵。