新闻快讯
< >

新型勒索软件GIBON现身,针对Windows文件夹以外所有文件

              新型勒索软件GIBON现身,针对Windows文件夹以外所有文件-E安全

最近,有安全研究人员发现一款名为“GIBON”的勒索软件正在在地下黑客论坛上以500美元的价格出售,并且似乎从今年5月份开始它就已经被上架。

GIBON针对受感染计算机上除了位于Windows文件夹的文件之外的所有文件。目前,研究人员只观察到他通过钓鱼邮件进行分发,但具体的传播机制尚不清楚。

研究人员描述,GIBON一旦感染了某台计算机,就会连接到它的C&C服务器,并通向其发送一条包含时间戳、Windows版本以及采用base64编码的字符串“ register(注册)”的消息,用以告知C&C服务器“这是一个新的受害者”。

新型勒索软件GIBON现身,针对Windows文件夹以外所有文件-E安全

服务器的响应消息中同样包含一个采用base64编码的字符串,GIBON会将其用作赎金票据。这种设置允许GIBON的运营团队在运行中更新赎金,而不必编译新的可执行文件。

新型勒索软件GIBON现身,针对Windows文件夹以外所有文件-E安全

一旦受害者被注册,勒索软件就会在本地生成一个加密密钥,然后以采用base64编码字符串的形式将其发送到C&C服务器。密钥用于加密计算机上的所有文件,并将.encrypt扩展名附加到每个被加密文件的文件名中。

新型勒索软件GIBON现身,针对Windows文件夹以外所有文件-E安全

在加密过程中,攻击者会继续对服务器执行ping操作,以获悉加密是否仍在进行中。当GIBON完成加密进程后,它会向C&C服务器发送一条最终消息,其中包含字符串“finish”、时间戳、Windows版本以及被加密文件的数量。

GIBON会在每个已加密文件的文件夹放置一个赎金票据(READ_ME_NOW.txt),向受害者提供有关发生的事情的信息,并通过电子邮件bomboms123@mail.ru或yourfood20@mail.ru联系GIBON的运营团队以获取付款说明。

新型勒索软件GIBON现身,针对Windows文件夹以外所有文件-E安全

好消息是,研究人员在上周发布了一个关于GIBON的解密器(下载地址:download.bleepingcomputer.com/demonslay335/GibonDecrypter.zip),受害者可以通过它来解密文件而无需支付赎金。