GIBON Ransomware dystrybuowane za pośrednictwem Malspam
Computer Security NewsNaukowiec usługi ProofPoint Matthew Mesa znaleziono Nowy szczep szkodnika o nazwie GIBON, które jest dystrybuowane za pośrednictwem malspam.
Spam wiadomości użyć złośliwy dokument jako załącznik zawierający makra, że po włączeniu one pobierze i zainstaluje ransomware na komputerze ofiary.
Matthew Mesa o nazwie zagrożenie GIBON ransomware ze względu na obecność ciąg “GIBON” w dwóch miejscach.
Ciąg był po raz pierwszy zauważony w ciągu agenta użytkownika złośliwego oprogramowania przy użyciu w komunikacji z serwerem Command & Control.
Drugie miejsce, gdzie można znaleźć ciąg “GIBON” jest panel administracyjny do ransomware.
Wykonywany, GIBON ransomware będzie podłączyć do C & C i zarejestrować nową ofiarę przez wysłanie ciągu zakodowane w formacie base64, który zawiera sygnatury czasowej, wersji systemu Windows, a ciąg “Zarejestruj się”.
Po tym C & C będzie odesłać odpowiedź, która zawiera ciąg zakodowany base64, który będzie używany przez GIBON ransomware jako okupu.
Jest zarejestrowany z C & C, zainfekowany komputer będzie lokalnie generowania klucza szyfrowania i wysłać go do serwera jako ciąg zakodowany base64.
GIBON ransomware będzie używać klucz szyfrowanie wszystkich plików na komputerze docelowym i dołączy rozszerzenie .encrypt do zaszyfrowanego pliku nazwa.
“Teraz, że ofiary zostały zarejestrowane i klucz do C2, ransomware rozpocznie się do szyfrowania na komputerze. Podczas szyfrowania komputera, to będzie kierować wszystkie pliki niezależnie od rozszerzenia tak długo, jak nie są one w folderze systemu Windows.” odczytuje w blogu zabezpieczeń.
“Podczas procesu szyfrowania, GIBON rutynowo będzie połączyć się z serwerem C2 i wysłać go “PING”, aby wskazać, że jest to nadal szyfrowania komputera. “
GIBON ransomware krople okupu w każdy folder zawierający zaszyfrowane pliki i generuje okupu, o nazwie READ_ME_NOW.txt.
“Uwaga! Wszystkie pliki są szyfrowane!
Aby przywrócić pliki, napisz do mail:bomboms123@mail.ru
Jeśli nie otrzymasz odpowiedzi od tego maila w ciągu 24 godzin,
to napisz do subsidiary:yourfood20@mail.ru “
Po zakończeniu szyfrowania plików, GIBON ransomware wyśle wiadomość do C & C serwera z ciągiem “Zakończ”, sygnatury czasowej, wersji systemu Windows i liczbę zaszyfrowanych plików.
Jednak dobrą wiadomością jest to, że ofiar może odszyfrować wszystkie pliki zaszyfrowane przez GIBON ransomware przy użyciu GibonDecrypter, które można znaleźć w Internecie.