GIBON Ransomware dystrybuowane za pośrednictwem Malspam

Computer Security News

Naukowiec usługi ProofPoint Matthew Mesa znaleziono Nowy szczep szkodnika o nazwie GIBON, które jest dystrybuowane za pośrednictwem malspam.

Spam wiadomości użyć złośliwy dokument jako załącznik zawierający makra, że po włączeniu one pobierze i zainstaluje ransomware na komputerze ofiary.

Matthew Mesa o nazwie zagrożenie GIBON ransomware ze względu na obecność ciąg “GIBON” w dwóch miejscach.

Ciąg był po raz pierwszy zauważony w ciągu agenta użytkownika złośliwego oprogramowania przy użyciu w komunikacji z serwerem Command & Control.

Drugie miejsce, gdzie można znaleźć ciąg “GIBON” jest panel administracyjny do ransomware.

Wykonywany, GIBON ransomware będzie podłączyć do C & C i zarejestrować nową ofiarę przez wysłanie ciągu zakodowane w formacie base64, który zawiera sygnatury czasowej, wersji systemu Windows, a ciąg “Zarejestruj się”.

Po tym C & C będzie odesłać odpowiedź, która zawiera ciąg zakodowany base64, który będzie używany przez GIBON ransomware jako okupu.

Jest zarejestrowany z C & C, zainfekowany komputer będzie lokalnie generowania klucza szyfrowania i wysłać go do serwera jako ciąg zakodowany base64.

GIBON ransomware będzie używać klucz szyfrowanie wszystkich plików na komputerze docelowym i dołączy rozszerzenie .encrypt do zaszyfrowanego pliku nazwa.

“Teraz, że ofiary zostały zarejestrowane i klucz do C2, ransomware rozpocznie się do szyfrowania na komputerze. Podczas szyfrowania komputera, to będzie kierować wszystkie pliki niezależnie od rozszerzenia tak długo, jak nie są one w folderze systemu Windows.” odczytuje w blogu zabezpieczeń.

“Podczas procesu szyfrowania, GIBON rutynowo będzie połączyć się z serwerem C2 i wysłać go “PING”, aby wskazać, że jest to nadal szyfrowania komputera. “

GIBON ransomware krople okupu w każdy folder zawierający zaszyfrowane pliki i generuje okupu, o nazwie READ_ME_NOW.txt.

“Uwaga! Wszystkie pliki są szyfrowane!
Aby przywrócić pliki, napisz do mail:bomboms123@mail.ru
Jeśli nie otrzymasz odpowiedzi od tego maila w ciągu 24 godzin,
to napisz do subsidiary:yourfood20@mail.ru “

Po zakończeniu szyfrowania plików, GIBON ransomware wyśle wiadomość do C & C serwera z ciągiem “Zakończ”, sygnatury czasowej, wersji systemu Windows i liczbę zaszyfrowanych plików.

Jednak dobrą wiadomością jest to, że ofiar może odszyfrować wszystkie pliki zaszyfrowane przez GIBON ransomware przy użyciu GibonDecrypter, które można znaleźć w Internecie.


Leave a Reply

Your email address will not be published. Required fields are marked *