oid Banshee APT組織利用Windows零日漏洞CVE-2024-38112通過禁用的Internet Explorer執行代碼。一個被追蹤為Void Banshee的APT組織被發現利用Windows零日漏洞CVE-2024-38112(CVSS評分為7.5)，通過禁用的Internet Explorer執行代碼。

該漏洞是Windows MSHTML平臺欺騙漏洞，要成功利用此漏洞攻擊者需要在利用此漏洞之前采取其他操作來準備目標環境。攻擊者可以通過向受害者發送受害者必須執行的惡意文件來觸發該問題。趨勢科技研究人員發現該漏洞在5月份被積極利用并將其報告給Microsoft，后者通過2024年7月的Patch Tuesday安全更新解決了零日漏洞。

觀察到Void Banshee利用CVE-2024-38112漏洞將Atlantida信息竊取程序投放到受害者的機器上。該惡意軟件允許運營商從多個應用程序收集系統信息并竊取敏感數據，例如密碼和cookie。在該組織的攻擊鏈中Void Banshee試圖誘騙受害者打開包含偽裝成書籍PDF的惡意文件的zip檔案，這些檔案通過云共享網站、Discord服務器和在線圖書館以及其他方式傳播。

APT集團專注于北美、歐洲和東南亞，這次零日攻擊是一個典型的例子，說明不受支持的Windows遺物如何成為一個被忽視的攻擊面，威脅行為者仍然可以利用它來感染毫無戒心的用戶勒索軟件后門或作為其他類型惡意軟件的渠道。

趨勢科技表示Void Banshee利用已禁用的Internet Explorer進程使用特制的HTML應用程序，AE文件帶有MHTML協議處理程序和x-usc！命令，此技術類似于對CVE-2021-40444的利用。CVE-2021-40444是另一個在零日攻擊中被利用的MSHTML漏洞。專家警告說這種攻擊方法非常令人擔憂，因為Internet Explorer不再接收更新或安全修復程序。

報告指出：在這次攻擊中，CVE-2024-38112被用作零日漏洞，通過打開和使用系統禁用的IE重定向到托管惡意HTML應用程序/(HTA)的受感染網站。

在lnternet快捷方式文件的URL參數中，我們可以看到Void Banshee專門使用MHTML協議處理程序和x-usc精心制作了這個URL字符串！此邏輯字符串通過iexplore.exe進程在本機Internet Explorer中打開URL目標。

Void Banshee APT CVE-2024-38112攻擊者使用IE重定向到攻擊者控制的域。在該域中HTML文件下載感染鏈的HTA階段，Void Banshee使用這個HTML文件來控制Internet Explorer的窗口視圖大小，隱藏瀏覽器信息并向受害者隱藏下一個感染階段的下載。

默認情況下IE會提示用戶打開或保存HTML應用程序，但APT組通過向文件擴展名添加空格將HTA文件偽裝成PDF，運行HTA文件后將執行一系列腳本，以及LoadToBadXml.NET特洛伊木馬加載程序、Donut shellcode和Atlantida竊取程序。

在這次活動中，我們觀察到即使用戶可能不再能夠訪問IE，威脅行為者仍然可以利用他們機器上揮之不去的Windows遺留物(如IE)來感染用戶和組織勒索軟件，后門或作為代理來執行其他惡意軟件。

趨勢科技總結道：像Void Banshee這樣的APT組織利用IE等殘疾人服務的能力對全球組織構成了重大威脅。由于IE等服務的攻擊面很大并且不再接收補丁，因此對Windows用戶來說是一個嚴重的安全問題。

開網頁很卡，加載緩慢，修改后的結果:

amnit病毒專殺工具是一款針對Ramnit病毒打造的查殺軟件，Ramnit是一種非常常見的蠕蟲病毒，這種病毒一般出沒于一些外掛軟件，而這款專殺工具能夠幫助用戶非常輕松的清理系統中的Ramnit病毒，還你一個安全、綠色、穩定的電腦系統；需要ramnit病毒專殺工具的朋友想必是自己遇到了或者身邊的朋友遇到了類似的問題，普通的殺軟可能難以解決這類問題，一直都殺不掉，小編也曾被全盤感染過，用國產殺軟殺一遍，重啟后繼續殺，反復循環，還是無果。

軟件特性

該病毒殺軟一般報：Win32.Ramnit.b或Virus.Ramnit.b····以上兩種報毒是由賽門鐵克和360安全中心的感染后的EXE報毒名稱 該病毒感染全盤EXE HTM HTML dll文件 感染后的EXE運行后會在該EXE同目錄下生成一個55kb或111kb大小的無圖標病毒文件（55kb是第一次運行，第二次運行就變成111kb，然后就一直是111kb）感染后電腦會留下后門，電腦全盤EXE HTML HTM DLL文件全部陣亡

常見問題

Ramnit.x是什么病毒：

1、ramnit是一種蠕蟲病毒。它能夠感染用戶計算機系統中的.exe、.dll和.html文件

2、W32.Ramnit將自身加密以后附加到目標文件中。當被感染的文件運行時，該蠕蟲會被釋放到當前目錄并被命名為[InfectedFilename]Srv.exe，然后執行。同時在% PR ogramFiles%目錄下增加一個MNetwork目錄。感染該病毒的計算機會試圖連接到網站rmnz[removed]ed.com，從該網站下載.dll文件注冊到系統中

3、該病毒主要通過移動存儲介質進行傳播。傳播時，它會把自己拷貝到移動存儲設備根目錄下面的Recycle Bin目錄中，同時創建autorun文件以達到自動啟動的目的

下載地址：http://www.32r.com/soft/76104.html

錄

前言：案例簡介

一、什么是.locked勒索病毒？

二、中了.locked后綴勒索病毒文件怎么恢復？

三、恢復案例介紹：

1. 被加密數據情況

2. 數據恢復完成情況

3. 恢復工期

預防勒索病毒-日常防護建議：

前言：案例簡介

近日，91數據恢復團隊接到某公司的求助，該公司的服務器在上周遭遇了勒索病毒的攻擊，服務器上的SQL數據庫被加密鎖定，軟件無法正常啟動，庫文件名也被篡改添加了攻擊者的贖金信息及.后綴，急需91數據恢復團隊幫忙恢復數據，經91數據恢復工程師檢測分析，最終確定數據恢復方案，并爭分奪秒幫助客戶完成了數據恢復，獲得了客戶高度好評。

一、什么是.locked勒索病毒？

.locked病毒是一種基于文件勒索病毒代碼的加密病毒，隸屬于國外知名的TellYouThePass勒索病毒家族。這個病毒已在去年底的主動攻擊中被發現。

.locked勒索病毒以某種方式進入計算機后，會更改Windows注冊表、刪除卷影副本、打開/寫入/復制系統文件、生成后臺運行的進程、加載各種模塊等。一旦在入侵后電腦系統上執行加密，locked并在文件名后附加“ .locked ”擴展名。例如，最初標題為“ 1.jpg ”的文件顯示為“ 1.locked ”，“ 2.jpg ”顯示為“ 2.locked ”，依此類推。locked還創建了一個名為“ README.html ”的說明文件。

萬一不幸感染了這個勒索病毒，您可添加我們的技術服務號（sjhf91）進行免費咨詢獲取數據恢復的相關幫助。

.locked勒索病毒是如何傳播感染的？

經過分析多家公司中毒后的機器環境判斷，該勒索病毒主要是利用2021年12月爆發的史詩級漏洞log4j進行入侵加密。

Log4j 是幾乎每個 Java 應用程序或軟件中都包含的無處不在的日志記錄工具，所以務必請企業檢查服務器上的各軟件、應用程序、網站是否已經升級修復該漏洞。

二、中了.locked后綴勒索病毒文件怎么恢復？

此后綴病毒文件由于加密算法問題，每臺感染的電腦服務器文件都不一樣，需要獨立檢測與分析中毒文件的病毒特征與加密情況，才能確定最適合的恢復方案。

考慮到數據恢復需要的時間、成本、風險等因素，建議如果數據不太重要，建議直接全盤掃描殺毒后全盤格式化重裝系統，后續做好系統安全防護工作即可。如果受感染的數據確實有恢復的價值與必要性，可添加我們的技術服務號（sjhf91）免費咨詢獲取數據恢復的相關幫助。

三、恢復案例介紹：

1. 被加密數據情況

一臺公司服務器，需要恢復的數據51萬個+，主要恢復oracle數據庫的DBF文件。

編輯

2. 數據恢復完成情況

數據完成恢復，客戶所需的所有文件均已成功恢復，恢復率等于100%。

編輯

預防勒索病毒-日常防護建議：

預防遠比救援重要，所以為了避免出現此類事件，強烈建議大家日常做好以下防護措施：

1．多臺機器，不要使用相同的賬號和口令，以免出現“一臺淪陷，全網癱瘓”的慘狀；

2．登錄口令要有足夠的長度和復雜性，并定期更換登錄口令；

3．嚴格控制共享文件夾權限，在需要共享數據的部分，盡可能的多采取云協作的方式。

4．及時修補系統漏洞，同時不要忽略各種常用服務的安全補丁。

5．關閉非必要的服務和端口如135、139、445、3389等高危端口。

6．備份備份備份！！！重要資料一定要定期隔離備份。進行RAID備份、多機異地備份、混合云備份，對于涉及到機密或重要的文件建議選擇多種方式來備份；

7．提高安全意識，不隨意點擊陌生鏈接、來源不明的郵件附件、陌生人通過即時通訊軟件發送的文件，在點擊或運行前進行安全掃描，盡量從安全可信的渠道下載和安裝軟件；

8．安裝專業的安全防護軟件并確保安全監控正常開啟并運行，及時對安全軟件進行更新。