Wie das Magazin Bleeping Computers am gestrigen 30. April 2022 berichtete gibt es wohl schon seit anfang April eine groß angelegte Kampagne zur Verbreitung von Ransomware in gefälschten Windows Updates.
Dabei werden über die gefälschten Updates die Rechner mit der Ransomware Magniber infiziert.
Dem Bericht zufolge berichten User im Forum von Bleeping Computers davon, sowohl über kumulative, wie auch über Sicherheits-Updates mit dieser Ransomware infiziert worden zu sein. Die Updates werden scheinbar mit verschiedenen Namen verbreitet, wobei Win10.0_System_Upgrade_Software.msi [Angabe: VirusTotal] und Security_Upgrade_Software_Win10.0.msi die häufigsten sein sollen.
System.Upgrade.Win10.0-KB47287134.msi
System.Upgrade.Win10.0-KB82260712.msi
System.Upgrade.Win10.0-KB18062410.msi
System.Upgrade.Win10.0-KB66846525.msi
Es ist zwar nicht zu 100 % gesichert, auf welche Weise diese gefälschten Windows 10-Updates verteilt werden. Es wird jedoch spekuliert, dass die Downloads von gefälschten Warez- und Crack-Sites verbreitet werden.
Nach der Installation löscht die Ransomware Schattenvolumenkopien und verschlüsselt dann Dateien. Bei der Verschlüsselung von Dateien fügt die Ransomware eine zufällige 8-Zeichen-Erweiterung an, z. B. .gtearevf.
Die Ransomware erstellt außerdem Lösegeldnotizen mit dem Namen README.html in jedem Ordner. Diese Readme-Dateien enthalten Anweisungen, wie man auf die Magniber Tor-Zahlungsseite zugreift, um das Lösegeld zu bezahlen.
Ich rate dringend dazu, sich auf keinen Fall Windows-Updates aus anderen Quellen als Microsoft selbst zu besorgen.
Link: Microsoft Windows Updates