GIBON Ransomware через Malspam

Computer Security News

ProofPoint дослідник Метью Mesa виявили новий штам вимагачів називається GIBON, яка поширюється через malspam.

Спам-повідомлень за допомогою зловмисних документа як вкладення, що містить макрос, що при включенні, вони завантажити та встановити на вимагачів машини жертви.

Метью Mesa називається загрозу GIBON ransomware через наявність рядок “GIBON” в двох місцях.

Рядок був вперше помітили в рядок агента користувача від шкідливих програм, за допомогою у зв’язку із сервером командування і управління.

Друге місце, де рядок “GIBON” знайдено є адмін-панелі для на вимагачів.

Стратою, GIBON ransomware підключитися до C & C і зареєструвати новий жертви, відправивши закодованих методом base64 рядок, що містить часову позначку, версії Windows і рядок “Реєстрація”.

Після цього C & C буде відправити назад відповідь, який містить рядок закодованих методом base64, який буде використовуватися GIBON ransomware як викуп Примітка.

Будучи зареєстрованим з C & C, зараженого комп’ютера буде локально генерувати шифрування ключ і відправити її на сервер як закодованих методом base64 рядок.

На GIBON ransomware буде використовувати ключ для шифрування всіх файлів на цільовий комп’ютер і додасть розширення .encrypt до зашифрованого файлу ім’я.

“Тепер, що жертви були зареєстровані і ключ передається до C2, на вимагачів розпочнеться для шифрування на комп’ютері. Час шифрування комп’ютер, він буде спрямована на всі файли незалежно від розширення тих пір, поки вони не знаходяться в папці Windows.” читає блог безпека.

“У процесі шифрування, GIBON регулярно підключитися до сервера С2 і відправити її “ПІНГ” вказує, що вона як і раніше шифрування комп’ютер. “

На GIBON ransomware краплі викуп записку в кожної папки із зашифрованими файлами і генерує викуп Примітка називається READ_ME_NOW.txt.

“Увага! Всі файли зашифровані!
Щоб відновити файли, напишіть на mail:bomboms123@mail.ru
Якщо ви не отримали відповіді від цього поштою протягом 24 годин,
тоді напишіть на subsidiary:yourfood20@mail.ru “

Після завершення шифрування файлів, на GIBON ransomware буде відправити повідомлення C & C сервер з рядка “Готово”, часову позначку, версії Windows а кількість зашифрованих файлів.

Тим не менше, гарною новиною тут є, що жертви можуть розшифрувати всі файли зашифровані за допомогою GibonDecrypter, що вони можуть знайти Інтернет GIBON ransomware.


Leave a Reply

Your email address will not be published. Required fields are marked *