新型勒索软件GIBON现身，针对Windows文件夹以外…

最近，有安全研究人员发现一款名为“GIBON”的勒索软件正在在地下黑客论坛上以500美元的价格出售，并且似乎从今年5月份开始它就已经被上架。

GIBON针对受感染计算机上除了位于Windows文件夹的文件之外的所有文件。目前，研究人员只观察到他通过钓鱼邮件进行分发，但具体的传播机制尚不清楚。

研究人员描述，GIBON一旦感染了某台计算机，就会连接到它的C&C服务器，并通向其发送一条包含时间戳、Windows版本以及采用base64编码的字符串“ register(注册)”的消息，用以告知C&C服务器“这是一个新的受害者”。

服务器的响应消息中同样包含一个采用base64编码的字符串，GIBON会将其用作赎金票据。这种设置允许GIBON的运营团队在运行中更新赎金，而不必编译新的可执行文件。

一旦受害者被注册，勒索软件就会在本地生成一个加密密钥，然后以采用base64编码字符串的形式将其发送到C&C服务器。密钥用于加密计算机上的所有文件，并将.encrypt扩展名附加到每个被加密文件的文件名中。

在加密过程中，攻击者会继续对服务器执行ping操作，以获悉加密是否仍在进行中。当GIBON完成加密进程后，它会向C&C服务器发送一条最终消息，其中包含字符串“finish”、时间戳、Windows版本以及被加密文件的数量。

GIBON会在每个已加密文件的文件夹放置一个赎金票据(READ_ME_NOW.txt)，向受害者提供有关发生的事情的信息，并通过电子邮件bomboms123@mail.ru或yourfood20@mail.ru联系GIBON的运营团队以获取付款说明。

好消息是，研究人员在上周发布了一个关于GIBON的解密器(下载地址：download.bleepingcomputer.com/demonslay335/GibonDecrypter.zip)，受害者可以通过它来解密文件而无需支付赎金。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有