By | November 6, 2017

החוקר ProofPoint מסה מת’יו מצא זן חדש של ransomware בשם GIBON, אשר מופץ באמצעות malspam.

הודעות דואר זבל להשתמש מסמך זדוני כקובץ מצורף המכיל פקודות מאקרו כי כאשר מופעל, הם להוריד ולהתקין את ransomware במחשב של הקורבן.

מתיו מסה קרא את האיום GIBON ransomware בשל נוכחותם של המחרוזת “GIBON” בשני מקומות.

המחרוזת זוהה לראשונה במחרוזת סוכן משתמש של תוכנה זדונית באמצעות התקשורת עם השרת בקרה.

למקום השני היכן ניתן למצוא את המחרוזת “GIBON” הוא פאנל ניהול של ransomware.

מוצא להורג GIBON ransomware להתחבר C & C ולרשום קורבן חדש על-ידי שליחת מחרוזת המקודדים באמצעות base64 המכיל חותמת את הגירסה של Windows, המחרוזת “הקופה”.

לאחר מכן, C & C נשלח חזרה תגובה אשר מכיל מחרוזת המקודדים באמצעות base64 שישמש מאת GIBON ransomware כמו פתק כופר.

להיות רשום עם C & C, במחשב הנגוע מקומי להפיק במפתח הצפנה ולשלוח אותו לשרת בתור מחרוזת המקודדים באמצעות base64.

GIBON ransomware להשתמש במפתח כדי להצפין את כל הקבצים במחשב היעד, יצרף את הסיומת .encrypt על שם הקובץ המוצפן.

“עכשיו כי הקורבן נרשם, מפתח ששודרו עד C2, ransomware יתחיל להצפין את המחשב. בעת הצפנת המחשב, זה יהיה למקד כל הקבצים ללא קשר בסיומת. כל עוד הם אינם בתיקיה Windows.” רשומה בבלוג האבטחה קורא.

“במהלך תהליך ההצפנה, GIBON שגרתי להתחבר לשרת C2 ולשלוח אותו “פינג” כדי לציין כי זה עדיין מצפין את המחשב. “

GIBON ransomware טיפות כופר בכל תיקיה המכילה את הקבצים המוצפנים ומייצר כופר בשם READ_ME_NOW.txt.

שימו לב! כל הקבצים מוצפנים!
כדי לשחזר את הקבצים, לכתוב mail:bomboms123@mail.ru
אם אינך מקבל לתגובה של דואר זה בתוך 24 שעות,
ואז לכתוב subsidiary:yourfood20@mail.ru “

לאחר שסיים את הצפנת קבצים, GIBON ransomware אשלח הודעה C & C שרת עם המחרוזת “סיום”, חותמת זמן, גירסת Windows, ואת מספר הקבצים המוצפנים.

ובכל זאת, הנה החדשות הטובות הן כי הקורבנות יכולים לפענח כל קבצים שהוצפנו על-ידי GIBON ransomware על-ידי שימוש GibonDecrypter אשר הם יכולים למצוא באינטרנט.

Leave a Reply

Your email address will not be published. Required fields are marked *