oid Banshee APT组织利用Windows零日漏洞CVE-2024-38112通过禁用的Internet Explorer执行代码。一个被追踪为Void Banshee的APT组织被发现利用Windows零日漏洞CVE-2024-38112(CVSS评分为7.5)，通过禁用的Internet Explorer执行代码。

该漏洞是Windows MSHTML平台欺骗漏洞，要成功利用此漏洞攻击者需要在利用此漏洞之前采取其他操作来准备目标环境。攻击者可以通过向受害者发送受害者必须执行的恶意文件来触发该问题。趋势科技研究人员发现该漏洞在5月份被积极利用并将其报告给Microsoft，后者通过2024年7月的Patch Tuesday安全更新解决了零日漏洞。

观察到Void Banshee利用CVE-2024-38112漏洞将Atlantida信息窃取程序投放到受害者的机器上。该恶意软件允许运营商从多个应用程序收集系统信息并窃取敏感数据，例如密码和cookie。在该组织的攻击链中Void Banshee试图诱骗受害者打开包含伪装成书籍PDF的恶意文件的zip档案，这些档案通过云共享网站、Discord服务器和在线图书馆以及其他方式传播。

APT集团专注于北美、欧洲和东南亚，这次零日攻击是一个典型的例子，说明不受支持的Windows遗物如何成为一个被忽视的攻击面，威胁行为者仍然可以利用它来感染毫无戒心的用户勒索软件后门或作为其他类型恶意软件的渠道。

趋势科技表示Void Banshee利用已禁用的Internet Explorer进程使用特制的HTML应用程序，AE文件带有MHTML协议处理程序和x-usc！命令，此技术类似于对CVE-2021-40444的利用。CVE-2021-40444是另一个在零日攻击中被利用的MSHTML漏洞。专家警告说这种攻击方法非常令人担忧，因为Internet Explorer不再接收更新或安全修复程序。

报告指出：在这次攻击中，CVE-2024-38112被用作零日漏洞，通过打开和使用系统禁用的IE重定向到托管恶意HTML应用程序/(HTA)的受感染网站。

在lnternet快捷方式文件的URL参数中，我们可以看到Void Banshee专门使用MHTML协议处理程序和x-usc精心制作了这个URL字符串！此逻辑字符串通过iexplore.exe进程在本机Internet Explorer中打开URL目标。

Void Banshee APT CVE-2024-38112攻击者使用IE重定向到攻击者控制的域。在该域中HTML文件下载感染链的HTA阶段，Void Banshee使用这个HTML文件来控制Internet Explorer的窗口视图大小，隐藏浏览器信息并向受害者隐藏下一个感染阶段的下载。

默认情况下IE会提示用户打开或保存HTML应用程序，但APT组通过向文件扩展名添加空格将HTA文件伪装成PDF，运行HTA文件后将执行一系列脚本，以及LoadToBadXml.NET特洛伊木马加载程序、Donut shellcode和Atlantida窃取程序。

在这次活动中，我们观察到即使用户可能不再能够访问IE，威胁行为者仍然可以利用他们机器上挥之不去的Windows遗留物(如IE)来感染用户和组织勒索软件，后门或作为代理来执行其他恶意软件。

趋势科技总结道：像Void Banshee这样的APT组织利用IE等残疾人服务的能力对全球组织构成了重大威胁。由于IE等服务的攻击面很大并且不再接收补丁，因此对Windows用户来说是一个严重的安全问题。

开网页很卡，加载缓慢，修改后的结果:

amnit病毒专杀工具是一款针对Ramnit病毒打造的查杀软件，Ramnit是一种非常常见的蠕虫病毒，这种病毒一般出没于一些外挂软件，而这款专杀工具能够帮助用户非常轻松的清理系统中的Ramnit病毒，还你一个安全、绿色、稳定的电脑系统；需要ramnit病毒专杀工具的朋友想必是自己遇到了或者身边的朋友遇到了类似的问题，普通的杀软可能难以解决这类问题，一直都杀不掉，小编也曾被全盘感染过，用国产杀软杀一遍，重启后继续杀，反复循环，还是无果。

软件特性

该病毒杀软一般报：Win32.Ramnit.b或Virus.Ramnit.b····以上两种报毒是由赛门铁克和360安全中心的感染后的EXE报毒名称 该病毒感染全盘EXE HTM HTML dll文件 感染后的EXE运行后会在该EXE同目录下生成一个55kb或111kb大小的无图标病毒文件（55kb是第一次运行，第二次运行就变成111kb，然后就一直是111kb）感染后电脑会留下后门，电脑全盘EXE HTML HTM DLL文件全部阵亡

常见问题

Ramnit.x是什么病毒：

1、ramnit是一种蠕虫病毒。它能够感染用户计算机系统中的.exe、.dll和.html文件

2、W32.Ramnit将自身加密以后附加到目标文件中。当被感染的文件运行时，该蠕虫会被释放到当前目录并被命名为[InfectedFilename]Srv.exe，然后执行。同时在% PR ogramFiles%目录下增加一个MNetwork目录。感染该病毒的计算机会试图连接到网站rmnz[removed]ed.com，从该网站下载.dll文件注册到系统中

3、该病毒主要通过移动存储介质进行传播。传播时，它会把自己拷贝到移动存储设备根目录下面的Recycle Bin目录中，同时创建autorun文件以达到自动启动的目的

下载地址：http://www.32r.com/soft/76104.html

录

前言：案例简介

一、什么是.locked勒索病毒？

二、中了.locked后缀勒索病毒文件怎么恢复？

三、恢复案例介绍：

1. 被加密数据情况

2. 数据恢复完成情况

3. 恢复工期

预防勒索病毒-日常防护建议：

前言：案例简介

近日，91数据恢复团队接到某公司的求助，该公司的服务器在上周遭遇了勒索病毒的攻击，服务器上的SQL数据库被加密锁定，软件无法正常启动，库文件名也被篡改添加了攻击者的赎金信息及.后缀，急需91数据恢复团队帮忙恢复数据，经91数据恢复工程师检测分析，最终确定数据恢复方案，并争分夺秒帮助客户完成了数据恢复，获得了客户高度好评。

一、什么是.locked勒索病毒？

.locked病毒是一种基于文件勒索病毒代码的加密病毒，隶属于国外知名的TellYouThePass勒索病毒家族。这个病毒已在去年底的主动攻击中被发现。

.locked勒索病毒以某种方式进入计算机后，会更改Windows注册表、删除卷影副本、打开/写入/复制系统文件、生成后台运行的进程、加载各种模块等。一旦在入侵后电脑系统上执行加密，locked并在文件名后附加“ .locked ”扩展名。例如，最初标题为“ 1.jpg ”的文件显示为“ 1.locked ”，“ 2.jpg ”显示为“ 2.locked ”，依此类推。locked还创建了一个名为“ README.html ”的说明文件。

万一不幸感染了这个勒索病毒，您可添加我们的技术服务号（sjhf91）进行免费咨询获取数据恢复的相关帮助。

.locked勒索病毒是如何传播感染的？

经过分析多家公司中毒后的机器环境判断，该勒索病毒主要是利用2021年12月爆发的史诗级漏洞log4j进行入侵加密。

Log4j 是几乎每个 Java 应用程序或软件中都包含的无处不在的日志记录工具，所以务必请企业检查服务器上的各软件、应用程序、网站是否已经升级修复该漏洞。

二、中了.locked后缀勒索病毒文件怎么恢复？

此后缀病毒文件由于加密算法问题，每台感染的电脑服务器文件都不一样，需要独立检测与分析中毒文件的病毒特征与加密情况，才能确定最适合的恢复方案。

考虑到数据恢复需要的时间、成本、风险等因素，建议如果数据不太重要，建议直接全盘扫描杀毒后全盘格式化重装系统，后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性，可添加我们的技术服务号（sjhf91）免费咨询获取数据恢复的相关帮助。

三、恢复案例介绍：

1. 被加密数据情况

一台公司服务器，需要恢复的数据51万个+，主要恢复oracle数据库的DBF文件。

编辑

2. 数据恢复完成情况

数据完成恢复，客户所需的所有文件均已成功恢复，恢复率等于100%。

编辑

预防勒索病毒-日常防护建议：

预防远比救援重要，所以为了避免出现此类事件，强烈建议大家日常做好以下防护措施：

1．多台机器，不要使用相同的账号和口令，以免出现“一台沦陷，全网瘫痪”的惨状；

2．登录口令要有足够的长度和复杂性，并定期更换登录口令；

3．严格控制共享文件夹权限，在需要共享数据的部分，尽可能的多采取云协作的方式。

4．及时修补系统漏洞，同时不要忽略各种常用服务的安全补丁。

5．关闭非必要的服务和端口如135、139、445、3389等高危端口。

6．备份备份备份！！！重要资料一定要定期隔离备份。进行RAID备份、多机异地备份、混合云备份，对于涉及到机密或重要的文件建议选择多种方式来备份；

7．提高安全意识，不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件，在点击或运行前进行安全扫描，尽量从安全可信的渠道下载和安装软件；

8．安装专业的安全防护软件并确保安全监控正常开启并运行，及时对安全软件进行更新。