近日码撰,ProofPoint安全研究人員馬修·梅薩(Matthew Mesa)發(fā)現(xiàn)了一款被稱為“GIBON”的新型勒索軟件,該軟件目前正通過惡意拉郵件進(jìn)行分發(fā)傳播个盆。此外脖岛,它還在地下黑客論壇上以500美元的價(jià)格進(jìn)行出售,并且似乎從今年5月份開始它就已經(jīng)上架銷售颊亮。
據(jù)悉柴梆,該垃圾郵件會(huì)使用包含宏的惡意文件作為附件,一旦受害者啟用宏终惑,惡意文件就會(huì)自行下載并安裝勒索軟件到受害者的設(shè)備上绍在。
研究人員之所以將該勒索軟件稱為“GIBON”,是因?yàn)樗麄冊趦商幍胤桨l(fā)現(xiàn)了名為“GIBON”的字符串雹有。最開始偿渡,研究人員是在“與命令與控制(C&C)服務(wù)器通信中使用的惡意軟件用戶代理(User Agent)字符串中”注意到了這個(gè)名字。
第二處可以找到“GIBON”字符串的地方是勒索軟件的控制面板霸奕,其Logo是來自俄羅斯電視公司VID溜宽。
研究人員分析發(fā)現(xiàn),當(dāng)?shù)谝淮螆?zhí)行GIBON勒索軟件時(shí)质帅,它將會(huì)連接到C&C服務(wù)器适揉,并通過向其發(fā)送一條包含時(shí)間戳、Windows版本以及采用base64編碼的“注冊”字符串消息來注冊新的受害者煤惩。服務(wù)器的響應(yīng)消息中同樣會(huì)發(fā)送一個(gè)采用base64編碼的字符串嫉嘀,GIBON會(huì)將其用作贖金票據(jù)。
一旦受感染的設(shè)備注冊了C&C服務(wù)器魄揉,勒索軟件就會(huì)在本地生成一個(gè)加密密鑰剪侮,隨后采用base64編碼字符串的形式將其發(fā)送到C&C服務(wù)器中。該惡意軟件將使用密鑰來加密目標(biāo)計(jì)算機(jī)上的所有文件洛退,并將.encrypt擴(kuò)展名附加到所有被加密文件的文件名中瓣俯。
研究人員Lawrence Abrams在其發(fā)表的博客文章中指出红淡,
由于受害者已被注冊,且密鑰也已經(jīng)傳輸?shù)搅薈&C服務(wù)器中降铸,該惡意軟件將開始加密目標(biāo)計(jì)算機(jī)。在對(duì)計(jì)算機(jī)進(jìn)行加密時(shí)摇零,不管文件擴(kuò)展名是什么推掸,只要是屬于非Windows文件夾中的所有文件都將成為目標(biāo)文件。此外驻仅,在加密過程中谅畅,GIBON還會(huì)定期連接C&C服務(wù)器并對(duì)其執(zhí)行ping操作,以此獲悉加密操作是否仍在進(jìn)行中噪服。
該惡意軟件會(huì)在每個(gè)包含已加密文件的文件夾中放置一個(gè)名為“READ_ME_NOW.txt”的贖金通知毡泻。該通知的具體內(nèi)容為:
注意!您的所有文件都已被加密粘优!想要恢復(fù)文件仇味,[url=http://mailto:%C7%EB%B7%A2%CB%CD%D3%CA%BC%FE%D6%C1bomboms123@mail.ru/] 請發(fā)送郵件至[/url]bomboms123@mail.ru。如果您在發(fā)送完郵件的24小時(shí)內(nèi)未受到該郵件的回復(fù)雹顺,請通過yourfood20@mail.ru聯(lián)系GIBON的運(yùn)營團(tuán)隊(duì)以獲取付款說明丹墨。
一旦GIBON勒索軟件完成對(duì)計(jì)算機(jī)文件的加密進(jìn)程后,它將向C&C服務(wù)器發(fā)送一條消息嬉愧,其中包含字符串“finish”贩挣、時(shí)間戳、Windows版本以及被加密文件的數(shù)量等信息没酣。
不過王财,值得慶幸的好消息是,研究人員已經(jīng)發(fā)布了針對(duì)該勒索軟件的解密程序裕便,已經(jīng)中招的受害者可以通過GibonDecrypter進(jìn)行解密绒净。
本文翻譯自:http://securityaffairs.co/wordpress/65214/malware/gibon-ransomware.html,轉(zhuǎn)自原文地址:http://www.4hou.com/info/news/8352.html
阿里云上業(yè)務(wù)加密勒索防護(hù)方案
https://help.aliyun.com/knowledge_detail/48701.html
[ 此帖被正禾在2017-11-14 09:39重新編輯 ]
