Гид по технологиям

Magniber — что это и как защититься от рансомвера, атакующего Chrome и Edge

8 min read Кибербезопасность Обновлено 27 Dec 2025
Magniber — что это и как защититься
Magniber — что это и как защититься

Что такое Magniber?

Magniber — это разновидность ransomware (шифровальщика), впервые появившаяся в экосистеме, связанной с набором эксплойтов Magnitude. История в двух строках: Magnitude использовался для доставки Cerber ещё в середине 2010-х, а с 2017 года злоумышленники стали распространять семейство Magniber. В 2021 году атаки усилились с использованием уязвимости PrintNightmare для выполнения удалённого кода и повышения привилегий. В начале 2022 года исследователи зафиксировали способность Magniber заражать современные браузеры — Google Chrome и Microsoft Edge.

Краткое определение: Magniber шифрует файлы на компьютере жертвы и требует выкуп за дешифровку. Он распространяется через вредоносные страницы, поддельные обновления браузера и компоненты, которые выглядят как легитимные расширения или приложения.

Важно знать: Magniber эксплуатирует устаревшее ПО и методы социального инжиниринга — обновления, которые выглядят как официальные, но загружают вредоносный файл.

Как Magniber заражает пользователей

Злоумышленник распространяет рансомвер через поддельные обновления браузера

Атака обычно идёт по сценарию «поддельного обновления браузера». Пользователь заходит на скомпрометированный сайт и видит уведомление, будто браузер устарел и требуется ручное обновление. При нажатии на кнопку загрузки сайт пытается доставить файл расширения или .appx-пакет.

Ключевые шаги атаки:

  • Веб-страница отображает поддельную страницу с логотипом Chrome/Edge и кнопкой «Обновить».
  • Файл распространяется как .appx (формат пакетов для Windows) и подписан действительным сертификатом, чтобы обойти базовую проверку целостности/подписи.
  • При установки злоумышленники помещают исполняемый файл и DLL в папку C:\Program Files\WindowsApps, которая обычно скрыта и защищена, поэтому многие пользователи не проверяют её.
  • После установки malware запускает шифрование файлов и создаёт записку с требованием выкупа.

Технические детали: использование .appx и действительного сертификата — распространённая техника для обхода базовых мер безопасности Windows. Злоумышленники либо получают злоупотреблённые подписи, либо используют украденные/поддельные сертификаты, чтобы снизить вероятность срабатывания SmartScreen и других защит.

Как отличить поддельный установщик от официального

Ниже — простые проверки перед установкой любого предполагаемого обновления:

  • Посмотрите адрес в адресной строке — официальный сайт должен быть google.com или microsoft.com. Если домен содержит случайные строки или цифры — это подозрительно.
  • Обратите внимание на орфографию и грамматику на странице. Поддельные страницы часто содержат ошибки и плохо отформатированные элементы.
  • Проверьте, кто подписал файл (.appx). Легитимные обновления подписаны Microsoft или Google/Chromium-программой.
  • Откройте настройки браузера и проверьте раздел «О браузере» — корректный способ обновления доступен в интерфейсе браузера.

Как вручную обновить Google Chrome

Нахождение раздела О Google Chrome в меню

  1. Нажмите на значок с тремя точками в правом верхнем углу окна браузера.
  2. Выберите «Справка» → «О Google Chrome».
  3. В открывшейся вкладке Chrome автоматически проверит обновления и, при необходимости, загрузит их.
  4. После загрузки нажмите «Перезапустить», чтобы применить обновления.

Примечание: Chrome по умолчанию обновляется автоматически при закрытии и повторном открытии браузера. Ручное обновление требуется, если вы держите окно открытым долгое время или используете платный/лимитированный канал связи.

Обновление Google Chrome в настройках

Как вручную обновить Microsoft Edge

Доступ к настройкам Microsoft Edge

  1. Нажмите на значок с тремя точками в правом верхнем углу Edge.
  2. Выберите «Настройки».
  3. На боковой панели перейдите в «О Microsoft Edge».
  4. Edge проверит версию, загрузит обновления и предложит «Перезапустить» для их применения.

Страница О Microsoft Edge с информацией о версии

Важно: всегда обновляйте браузеры через их собственный интерфейс или официальные страницы загрузки microsoft.com и google.com.

Практические меры защиты для пользователей

  • Не скачивайте и не устанавливайте обновления из всплывающих окон на сайтах.
  • Всегда обновляйте браузер через настройки или официальный сайт.
  • Включите автоматические обновления браузера и операционной системы.
  • Делайте регулярные резервные копии важных данных на отдельный носитель или в облако с версионностью.
  • Не отключайте защитные механизмы Windows (SmartScreen, UAC, антивирус).
  • Используйте надёжный антивирус/EDR и периодически сканируйте систему.

Рекомендации для администраторов и команд безопасности

Критически важно внедрить меры на уровне предприятия, чтобы снизить вероятность успешной атаки:

  • Ограничьте возможность установки неподписанных приложений с помощью AppLocker или групповых политик.
  • Используйте Windows Defender Application Control (WDAC) или Microsoft Intune для управления политиками приложений.
  • Отключите возможность sideload для .appx-пакетов, если это возможно в вашей среде.
  • Включите контроль целостности на компьютерах (Device Guard) и поддерживайте актуальность антивирусных сигнатур.
  • Настройте мониторинг для обнаружения неожиданной записи в C:\Program Files\WindowsApps и создания оповещений при появлении новых исполняемых файлов в системных папках.
  • Периодически проводить обучение сотрудников по распознаванию фишинговых страниц и поддельных уведомлений об обновлениях.

Ключевая идея для админа: установить политику «по умолчанию запретить, разрешить по необходимости» для исполнения кода и инсталляции пакетов.

План реагирования при подозрении на заражение

Ниже — сжатый runbook для быстрого реагирования, применимый как на персональном ПК, так и в корпоративной сети.

  1. Изолировать устройство от сети (отключить Ethernet и Wi‑Fi).
  2. Отключить синхронизацию облачных сервисов, чтобы предотвратить распространение шифрования.
  3. Зафиксировать состояние системы: сделать снимки памяти и сохранить журналы событий, список запущенных процессов и подключённых сетевых соединений.
  4. Собрать образ диска или как минимум копию зашифрованных файлов и ransom note.
  5. Оценить наличие бэкапов и начать восстановление с надёжной резервной копии.
  6. Не платить выкуп без консультации с юридическим отделом и специалистами по безопасности; оплата не гарантирует восстановление и может поощрять злоумышленников.
  7. Провести форензик-расследование, чтобы определить вектор проникновения и масштаб компрометации.
  8. Сообщить в правоохранительные органы, если это требуется по регламенту или закону.

Важно: последовательность действий зависит от политики организации и регуляторных требований.

Рольовые чеклисты

End user

  • Не нажимать «Обновить» на подозрительных сайтах.
  • Выключать/перезапускать браузер время от времени для автоматических обновлений.
  • Хранить резервные копии важных файлов.

ИТ‑администратор

  • Настроить AppLocker/WDAC и запрет на sideload .appx.
  • Настроить EDR и оповещения о изменениях в WindowsApps.
  • Проводить обучение пользователей.

SOC / команда реагирования

  • Быстро изолировать инцидент.
  • Собрать артефакты и логи.
  • Координировать восстановление из бэкапов.

Менеджмент

  • Обеспечить наличие SLA и резервного копирования.
  • Утвердить бюджет на превентивные меры и обучение.

Когда обычные меры не срабатывают и примеры исключений

  • Если пользователь уже загрузил и установил .appx с действительной подписью, базовые проверки SmartScreen могут не сработать.
  • Если в сети отсутствуют актуальные бэкапы или они тоже были доступны злоумышленникам, восстановление усложняется.
  • В средах с отключёнными автоматическими обновлениями и длительным временем работы браузера пользователь может привыкнуть к ручным обновлениям — это увеличивает риск.

Контрмера: внедрите контроль установки приложений и мониторинг пакетных инсталляций.

Тестовые сценарии и критерии приёмки процессов обновления

  • Тест 1: При попытке установки неподписанного .appx файл блокируется политикой AppLocker.
    Критерий приёмки: инсталляция заблокирована и генерируется оповещение.

  • Тест 2: При появлении новой версии браузера в настройках обновление загружается и применяется автоматически.
    Критерий приёмки: версия браузера обновлена, пользователь получает сообщение о перезапуске.

  • Тест 3: Механизм резервного копирования позволяет восстановить файлы после имитации шифрования.
    Критерий приёмки: восстановление прошло успешно, данные целы.

Безопасное поведение при работе в Интернете — эвристики

  • Если не уверены в источнике — не устанавливайте.
  • Официальные обновления приходят через настройки приложения или через microsoft.com/google.com.
  • Подозрительные сайты часто требуют немедленного действия и создают «страх» для пользователя — это признак атаки.

Безопасность и защита данных (GDPR и локальные требования)

Если шифрование коснулось персональных данных, организации должны оценить риск утечки и исполнить свои обязательства по уведомлению регуляторов и субъектов данных в соответствии с применимыми законами (например, GDPR в ЕС). Решения о раскрытии инцидента и уведомлении зависят от масштаба компрометации, наличия утечки и внутренних процессов.

Короткий словарь терминов

  • Ransomware — вредоносное ПО, которое шифрует файлы и требует выкуп.
  • .appx — формат пакета приложений Windows.
  • AppLocker/WDAC — механизмы Windows для контроля запуска приложений.
  • PrintNightmare — известная уязвимость, использовавшаяся злоумышленниками для выполнения кода.

Факты и ключевые моменты

  • Magniber доставляется через набор эксплойтов Magnitude и поддельные страницы обновлений.
  • Наблюдаемый переход на Chrome и Edge связан с тем, что оба браузера используют кодовую базу Chromium.
  • Уязвимость PrintNightmare использовалась для повышения привилегий в 2021 году.

Практический чеклист для немедленных действий

  • Не принимать запросы на установку обновлений с незнакомых сайтов.
  • Обновить Chrome/Edge через «О браузере».
  • Проверить наличие недавних резервных копий и создать дополнительные.
  • Запустить полное сканирование системой защиты и связаться со службой ИБ при подозрении на заражение.

Важно: оплата выкупа не гарантирует возврат файлов и может поддержать криминальные схемы.

Заключение

Magniber — эволюция схем социального инжиниринга и использования подписанных пакетов для обхода базовых защит. Защититься просто и дешево: не устанавливать сомнительные обновления, использовать автоматические обновления браузера, поддерживать политики блокировки неподписанных приложений и регулярно делать резервные копии. Для организаций требуется расширенная защита на уровне политик, мониторинга и обучения пользователей.

Краткие рекомендации на выход: обновите браузер через настройки, проверьте бэкапы и включите политику блокировки неподписанных приложений.

Крисс‑чек: следите за официальными объявлениями Microsoft и Google по вопросам безопасности и реагируйте на уведомления безопасности своевременно.

Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

Как выбрать стриминговый сервис — руководство
Развлечения

Как выбрать стриминговый сервис — руководство

Запланировать автозапуск Mac — инструкция
macOS

Запланировать автозапуск Mac — инструкция

Как обновить Google Chrome — быстро и безопасно
браузер

Как обновить Google Chrome — быстро и безопасно

Настройка панели быстрых действий на Samsung Galaxy
Android.

Настройка панели быстрых действий на Samsung Galaxy

Typosquatting — как распознать и защититься
Кибербезопасность

Typosquatting — как распознать и защититься

Alt+Tab в играх: почему тормозит и как исправить
Игры

Alt+Tab в играх: почему тормозит и как исправить