GIBON Ransomware diedarkan melalui Malspam

Computer Security News

Penyelidik ProofPoint Matthew Mesa mendapati tekanan baru dari ransomware yang dipanggil GIBON, yang diedarkan melalui malspam.

Mesej spam menggunakan dokumen jahat sebagai lampiran yang mengandungi makro bahawa apabila didayakan, ia akan memuat turun dan memasang ransomware itu pada mesin mangsa.

Matthew Mesa dipanggil ancaman GIBON ransomware kerana kehadiran rentetan “GIBON” dalam dua tempat.

Rentetan adalah mula-mula dikesan dalam rentetan ejen pengguna menggunakan perisian berniat jahat dalam komunikasi dengan pelayan arahan & kawalan.

Tempat kedua di mana tali “GIBON” boleh dijumpai adalah panel Admin untuk ransomware tersebut.

Sedang dilaksanakan, pihak GIBON ransomware akan sambung ke C & C dan mendaftar mangsa baru dengan menghantar rentetan base64 dikodkan yang mengandungi Cap masa, versi Windows dan rentetan “register”.

Selepas itu, di C & C akan hantar kembali jawapan yang mengandungi rentetan base64 dikodkan yang akan digunakan oleh GIBON ransomware sebagai Nota tebusan.

Yang berdaftar dengan C & C, komputer dijangkiti akan menjanakan Kekunci enkripsi untuk mahupun menghantarnya kepada pelayan sebagai rentetan base64 dikodkan.

Di GIBON ransomware akan menggunakan kekunci untuk menyulitkan semua fail dalam komputer sasaran dan akan Tambah sambungan .encrypt ke nama fail dienkripsikan.

“Sekarang bahawa mangsa telah didaftarkan dan kekunci yang dihantar kepada C2, ransomware itu akan mula menyulitkan komputer. Ketika mengenkripsikan komputer, ia akan meletakkan sasaran utama semua fail tanpa mengira sambungan selagi mereka tidak berada dalam Windows folder.” membaca posting blog Keselamatan.

“Semasa proses penyulitan, GIBON secara rutin akan bersambung kepada pelayan C2 dan menghantarnya “PING” untuk menunjukkan bahawa ia masih adalah menyulitkan komputer. “

GIBON ransomware jatuh Nota tebusan di setiap folder yang mengandungi fail-fail dienkripsikan dan menjana Nota tebusan yang dipanggil READ_ME_NOW.txt.

“Perhatian! Semua fail akan dienkripsikan!
Untuk mengambil semula fail itu, menulis dalam mail:bomboms123@mail.ru
Jika anda tidak menerima balasan dari mel ini dalam masa 24 jam,
kemudiannya menulis kepada subsidiary:yourfood20@mail.ru dalam “

Selepas melengkapkan penyulitan fail, GIBON ransomware akan menghantar mesej kepada p & C pelayan dengan rentetan “selesai”, sebuah Cap masa, versi Windows dan bilangan fail yang dienkripsi.

Walau bagaimanapun, Berita baiknya di sini ialah bahawa mangsa boleh mengenskrip semua fail dienkripsikan oleh di GIBON ransomware dengan menggunakan GibonDecrypter yang mereka boleh mencari di Internet.


Leave a Reply

Your email address will not be published. Required fields are marked *