新型勒索软件GIBON现身,针对Windows文件夹以外…

2018-09-05 07:42:15来源:红黑联盟 阅读 ()

新老客户大回馈,云服务器低至5折

最近,有安全研究人员发现一款名为“GIBON”的勒索软件正在在地下黑客论坛上以500美元的价格出售,并且似乎从今年5月份开始它就已经被上架。

GIBON针对受感染计算机上除了位于Windows文件夹的文件之外的所有文件。目前,研究人员只观察到他通过钓鱼邮件进行分发,但具体的传播机制尚不清楚。

研究人员描述,GIBON一旦感染了某台计算机,就会连接到它的C&C服务器,并通向其发送一条包含时间戳、Windows版本以及采用base64编码的字符串“ register(注册)”的消息,用以告知C&C服务器“这是一个新的受害者”。

服务器的响应消息中同样包含一个采用base64编码的字符串,GIBON会将其用作赎金票据。这种设置允许GIBON的运营团队在运行中更新赎金,而不必编译新的可执行文件。

一旦受害者被注册,勒索软件就会在本地生成一个加密密钥,然后以采用base64编码字符串的形式将其发送到C&C服务器。密钥用于加密计算机上的所有文件,并将.encrypt扩展名附加到每个被加密文件的文件名中。

在加密过程中,攻击者会继续对服务器执行ping操作,以获悉加密是否仍在进行中。当GIBON完成加密进程后,它会向C&C服务器发送一条最终消息,其中包含字符串“finish”、时间戳、Windows版本以及被加密文件的数量。

GIBON会在每个已加密文件的文件夹放置一个赎金票据(READ_ME_NOW.txt),向受害者提供有关发生的事情的信息,并通过电子邮件bomboms123@mail.ru或yourfood20@mail.ru联系GIBON的运营团队以获取付款说明。

好消息是,研究人员在上周发布了一个关于GIBON的解密器(下载地址:download.bleepingcomputer.com/demonslay335/GibonDecrypter.zip),受害者可以通过它来解密文件而无需支付赎金。

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:微软海底数据中心监控设备同时还能监测水下环境

下一篇:26%的西澳政府官员仍在使用弱密码