GIBON Ransomware distribueras via Malspam

Computer Security News

ProofPoint forskaren Matthew Mesa hittade en ny stam av ransomware kallas GIBON, som distribueras via malspam.

Spam-meddelanden använder ett skadligt dokument som bifogad fil som innehåller makron som när aktiverad, kommer de att ladda ner och installera ransomware på offrets dator.

Matthew Mesa kallas hotet GIBON ransomware på grund av förekomsten av strängen ”GIBON” på två ställen.

Strängen sågs först i användaragentsträngen av den malware användande i kommunikationen med den Command & Control servern.

Den andra plats där strängen ”GIBON” kunde hittas är adminpanel för ransomware.

Verkställs, kommer den GIBON ransomware ansluta till C & C och registrera ett nytt offer genom att skicka en base64-kodad sträng som innehåller tidsstämpel, versionen av Windows och strängen ”register”.

Efter det skickar C & C tillbaka ett svar som innehåller en base64-kodad sträng som kommer att användas av GIBON ransomware som hotbrev.

Registreras med C & C, kommer den infektera datorn lokalt generera en krypteringsnyckel och skicka den till servern som en base64-kodad sträng.

Den GIBON ransomware kommer att använda för att kryptera alla filer på måldatorn och kommer att lägga en .encrypt förlängning till krypterade filens namn.

”Nu när offret har registrerats och nyckeln överförs till C2, ransomware börjar att kryptera datorn. Samtidigt kryptera datorn, det kommer att rikta alla filer oavsett tillägget så länge de inte är i Windows-mappen ”. en säkerhet blogginlägg läser.

”Under krypteringsprocessen, GIBON rutinmässigt kommer att ansluta till servern för C2 och skicka den en ”PING” att ange att det fortfarande Krypterande datorn ”.

GIBON ransomware droppar ett hotbrev i varje mapp som innehåller krypterade filer och genererar ett hotbrev som kallas READ_ME_NOW.txt.

”Uppmärksamhet! Alla filer är krypterade!
Om du vill återställa filerna och skriva till mail:bomboms123@mail.ru
Om du inte får ett svar från denna mail inom 24 timmar,
sedan skriva till subsidiary:yourfood20@mail.ru ”

Efter avslutad filkryptering, den GIBON ransomware kommer att skicka ett meddelande till C & C server med strängen ”Slutför”, en tidsstämpel, Windows-versionen och antalet krypterade filer.

Den goda nyheten här är dock att offren kan dekryptera alla filer som krypterats med de GIBON ransomware med hjälp av den GibonDecrypter som de kan hitta på Internet.


Leave a Reply

Your email address will not be published. Required fields are marked *