GIBON Ransomware phân phối qua Malspam

Computer Security News

Các nhà nghiên cứu ProofPoint Matthew Mesa tìm thấy một chủng mới của ransomware được gọi là GIBON, mà phân phối qua malspam.

Thư rác sử dụng một tài liệu độc hại như phần đính kèm có chứa macro khi kích hoạt, họ sẽ tải về và cài đặt ransomware trên máy tính của nạn nhân.

Matthew Mesa gọi là mối đe dọa GIBON ransomware do sự hiện diện của chuỗi “GIBON” ở hai vị trí.

Các chuỗi đã được phát hiện đầu tiên trong chuỗi nhân người dùng của các phần mềm độc hại sử dụng trong thông tin liên lạc với hệ phục vụ chỉ huy và kiểm soát.

Vị trí thứ hai nơi mà các chuỗi “GIBON” có thể được tìm thấy là các bảng quản trị cho ransomware.

Đang được thực thi, các GIBON ransomware sẽ kết nối với C & C và đăng ký một nạn nhân mới bằng cách gửi một chuỗi base64 mã hóa chứa dấu thời gian, các phiên bản của Windows, và chuỗi “đăng ký”.

Sau đó, C & C sẽ gửi lại một phản ứng có chứa một chuỗi base64 mã hóa sẽ được sử dụng bởi GIBON ransomware là lưu ý tiền chuộc.

Được đăng ký với C & C, máy tính bị nhiễm tại địa phương sẽ tạo ra một mã khóa mã hóa và gửi nó tới máy chủ như là một chuỗi base64 mã hóa.

GIBON ransomware sẽ sử dụng chìa khóa để mã hóa tất cả các tệp trên máy tính mục tiêu và sẽ thêm phần mở rộng .encrypt với tên tập tin được mã hóa.

“Bây giờ mà các nạn nhân đã được đăng ký và chìa khóa truyền đến C2, ransomware sẽ bắt đầu để mã hóa các máy tính. Trong khi mã hóa các máy tính, nó sẽ nhắm mục tiêu tất cả các tập tin không phân biệt mở rộng miễn là họ đang không ở trong thư mục Windows.” một bài đăng blog bảo mật đọc.

“Trong quá trình mã hóa, GIBON sẽ thường xuyên kết nối đến máy chủ C2 và gửi nó “PING” để chỉ ra rằng nó vẫn còn mã hóa các máy tính. “

GIBON ransomware giọt một tống trong mỗi thư mục chứa các tập tin được mã hóa và tạo ra một lưu ý tiền chuộc được gọi là READ_ME_NOW.txt.

“Chú ý! Tất cả các tệp đều được mã hóa!
Để khôi phục lại các tập tin, viết thư cho mail:bomboms123@mail.ru
Nếu bạn không nhận được một phản ứng từ này mail trong vòng 24 giờ
sau đó viết thư cho the subsidiary:yourfood20@mail.ru “

Sau khi hoàn thành mã hóa tập tin, các GIBON ransomware sẽ gửi tin nhắn đến C & C máy chủ với chuỗi “kết thúc”, một dấu thời gian, các phiên bản Windows và số lượng các tập tin được mã hóa.

Tuy nhiên, tin tốt ở đây là các nạn nhân có thể giải mã tất cả các tập tin được mã hóa bởi các GIBON ransomware bằng cách sử dụng GibonDecrypter mà họ có thể tìm thấy trên Internet.


Leave a Reply

Your email address will not be published. Required fields are marked *