新闻快讯
< >

新型勒索软件GIBON通过恶意垃圾邮件传播

E安全11月8日讯 网络安全公司ProofPoint的研究人员Matthew Mesa(马修·梅萨)发现一款新勒索软件“GIBON”通过恶意垃圾邮件(Malspam)感染目标。这款勒索软件自今年5月就已在暗网上架,售价500美元(约合人民币3319元)的价格出售。

勒索软件“GIBON”的攻击方式

攻击者将包含宏的恶意文件作为垃圾邮件附件,一旦启用宏,恶意文件便会在受害者的设备上下载并安装这款勒索软件。

Mesa之所以将这款软件命名为“GIBON”,正是因为有两处出现了“GIBON”。专家首先在这款恶意软件的User Agent字符串中注意到“GIBON”,其用来与命令与控制服务器(C&C Server)通信。

新型勒索软件GIBON通过恶意垃圾邮件传播-E安全

此外,管理面板(Admin Panel)也出现了“GIBON”字符串。

新型勒索软件GIBON通过恶意垃圾邮件传播-E安全

黑客可以随意修改赎金大小

GIBON勒索软件初次执行时会连接到C&C服务器,并发送包含时间戳、Windows版本和“注册”字符串的base64编码字符串注册新的受害者。服务器的响应消息中同样包含一个采用base64编码的字符串,GIBON会将其用作赎金票据。这种设置允许GIBON的运营团队在运行中更新赎金,而不必编译新的可执行文件。

图片.png

C&C服务器将会返回包含base64编码字符串的响应。 一旦被感染设备与C&C服务器注册,这台设备将在本地生成加密密钥,并将其作为base64编码字符串发送至这台C&C服务器。这款恶意软件将使用该密钥加密目标设备上的所有的文件,并在加密文件的名称附加.encrypt扩展名。

网络安全编辑Lawrence Abrams(劳伦斯·艾布拉姆斯)表示,由于受害者已被注册,密钥也已传输至C&C服务器,这款恶意软件将开始加密目标设备。GIBON加密的同时还会将目标瞄向非Windows文件夹内的所有文件。GIBON在加密过程中定期连接到C&C服务器,攻击者会继续对服务器执行ping操作,以确认加密是否仍在进行中。

这款恶意软件会在包含加密文件的每个文件中释放勒索信息,此外还会生成名为“READ_ME_NOW.txt”的勒索信息,其内容如下:

新型勒索软件GIBON通过恶意垃圾邮件传播-E安全

一旦完成文件加密,GIBON将会向C&C服务器发送“Finish”字符串、时间戳、Windows版本和加密的文件数量。所幸的是,这款恶意软件加密的文件可通过GibonDecrypter(获取地址:请戳!)解密。

相关阅读:

Sage勒索软件新变种:新增反分析和提权功能
勒索软件Matrix卷土重来,通过广告传播恶意代码掀起新一轮攻击浪潮。
全球“赚钱”勒索软件交易平台超6300家,勒索软件市场正呈爆炸式增长
伪装成VPN应用程序的勒索软件Tyran正在伊朗蔓延
警告:多国遭“坏兔子”(Bad Rabbit)勒索软件攻击【附攻击细节】
网络安全公司Carbon Black报告:2017年勒索软件市场经济翻了25.02倍

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。