上周,有安全專家發(fā)現(xiàn)了一款新的 GIBON 勒索軟件。但實(shí)際上,今年 5 月份地下黑市中就已經(jīng)出現(xiàn)了這款勒索軟件的身影。一名網(wǎng)名為 AUS_8 的用戶在多個(gè)網(wǎng)站出售這款勒索軟件,價(jià)格為500美元。廣告語(yǔ)用俄語(yǔ)撰寫,詳細(xì)描述了這款軟件的特點(diǎn)和功能。
據(jù)研究人員觀察,GIBON 主要利用垃圾郵件傳播,但確切的傳播機(jī)制尚不清楚,主要攻擊被感染計(jì)算機(jī)中除 Windows 文件夾以外的文件。感染計(jì)算機(jī)后,GIBON 會(huì)連接到其 C&C 服務(wù)器,并發(fā)送包含時(shí)間戳、Windows 版本和“注冊(cè)”字符串(用于告知 C&C 新的受害者)的 base64 編碼字符串去感染下一個(gè)受害者。隨后,服務(wù)器會(huì)返回一個(gè) base64 編碼的字符串,作為 GIBON 的勒索通知。利用這種設(shè)置,攻擊者可以即時(shí)更新贖金,而不必編譯新的可執(zhí)行文件。
一旦受害者注冊(cè)到 C&C 服務(wù)器中,GIBON 就會(huì)在本地生成一個(gè)加密密鑰,然后以 base64 編碼的字符串形式將其發(fā)送到 C&C 服務(wù)器。該密鑰用于加密計(jì)算機(jī)上的所有文件,并為所有加密文件附加上 .encrypt 擴(kuò)展名。在加密過程中,GIBON 會(huì)繼續(xù)對(duì)服務(wù)器執(zhí)行 ping 操作,表示加密正在進(jìn)行。加密完成后,則會(huì)向服務(wù)器發(fā)送最終消息,包含字符串“完成”、時(shí)間戳、Windows 版本以及加密的文件數(shù)量。
最后,GIBON 會(huì)在每個(gè)已加密文件的文件夾中加入贖金通知,要求受害者通過電子郵件 bomboms123@mail.ru 或子公司 yourfood20@mail.ru 聯(lián)系攻擊者以獲取付款說(shuō)明。
在分析 GIBON 的廣告時(shí),研究人員發(fā)現(xiàn),GIBON 作者聲稱使用 RSA-2048 密鑰進(jìn)行加密,但這并不正確。事實(shí)上,GIBON 是先添加一個(gè)密碼,然后用 RSA-2048 密鑰加密這個(gè)密碼。此外,該作者還聲稱,使用 GIBON 加密的文件無(wú)法解密;但安全專家已經(jīng)發(fā)布了解密器,因此,GIBON 的威脅并不可怕。
來(lái)源:中國(guó)IDC圈
石家莊服務(wù)器托管 石家莊服務(wù)器租用 石家莊機(jī)柜租用 石家莊機(jī)房 |