新的GIBON Ransomware出现

  • 时间:
  • 浏览:24
  • 来源:it300
新的GIBON Ransomware出现

一个名为“GIBON”的新发现的勒索软件系列目标是它设法感染的机器上的所有文件,除了那些位于Windows文件夹中的文件。

勒索软件在地下犯罪论坛上以500美元的价格出售尽管如此,安全研究人员最近才对它进行了一瞥,并且上周发布了解密器。

观察到的涉及这种威胁的攻击正在使用用于分发的恶意垃圾邮件,但目前还不知道确切的传送机制。

一旦感染了机器,GIBON就会连接到它的命令和控制(CC)服务器并通过发送来注册新的受害者一个base64编码的字符串,包含时间戳,Windows版本和“register“string(告诉CC这是一个新的受害者)。

服务器的响应包含一个base64编码的字符串,勒索软件使用该字符串作为赎金笔记。正如BleepingComputer的Lawrence Abrams所说,此设置允许恶意软件作者即时更新赎金票据,无需编译新的可执行文件。

一旦受害者注册,勒索软件在本地生成加密密钥,然后作为base64编码发送到CC服务器密钥用于加密计算机上的所有文件,并将.encrypt扩展名附加到每个加密文件的名称。

威胁继续在加密过程中ping服务器,以通知它操作仍然在进行中。当过程完成后,它会发送最后一条消息到服务器,包含字符串“finish”,时间戳,Windows版本和加密的文件数。

GIBON在文件加密的每个文件夹上删除赎金,为用户提供有关发生的事情的信息,并指示他们通过[email protected]或子公司的电子邮件联系恶意软件作者:[email protected]了解付款说明。

在分析恶意软件的广告时,研究人员发现作者错误地声称RSA-2048密钥用于加密。事实上,使用了一个附加密码,然后勒索软件用RSA-2048密钥加密这个密码。

GIBON的作者还声称用勒索软件加密的文件是不可能解密的,这也是错误的,特定一个解密器已经被释放。

相关:勒索软件:它在哪里以及它在哪里

相关:网络托管服务提供商向勒索软件攻击者支付100万美元

相关: ICS安全专业人员越来越关注勒索软件:调查

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01