Ransomware GIBON se širi preko spam emailova

Opisi virusa, 07.11.2017, 00:30 AM

Ransomware GIBON se širi preko spam emailova

Istraživač iz firme ProofPoint Metju Mesa otkrio je prošle nedelje novi ransomware nazvan GIBON koji se trenutno širi preko spam emailova sa malicioznim dokumentom koji sadrži makroe koji preuzimaju i instaliraju ransomware na računar.

Sada je otkriveno da se GIBON prodaje na forumima sajber podzemlja još od maja 2017. Ransomware prodaje neko ko se potpisuje kao AUS_8 i koji za GIBON traži 500 dolara. Oglas za malver je napisan na ruskom.

AUS_8 tvrdi da je nemoguće dešifrovati fajlove. Međutim, to nije istina. Postoji dekriptor koga žrtve mogu preuzeti i pomoću koga mogu dešifrovati svoje fajlove. Drugo, u oglasu se tvrdi da se enkripcija vrši 2048-bitnim ključem, što nije u potpunosti tačno. Fajlovi se zapravo šifruju pomoću lokalno generisanog ključa koji se šifruje sa RSA-2048 ključem.

Čini se da prodaja ransomwarea ne ide dobro, s obzirom da je primećana samo jedna kampanja distribucije GIBON-a, a da se malver reklamira na forumima već pet meseci.

Kada je reč o načinu rada ovog ransomwarea, kada se GIBON pokrene on se povezuje sa komandno-kontrolnim serverom da bi registrovao novoinficirani računar. Lokalno se generiše ključ koji se šalje C&C serveru i koji će biti korišćen za šifrovanje svih fajlova na računaru, bez obzira na ekstenziju. Šifrovanja će biti pošteđeni fajlovi u Windows folderu. GIBON dodaje ekstenziju .encrypt nazivima šifrovanih fajlova. Tokom procesa enkripcije GIBON se povezuje sa serverom da bi ga obavestio da je enkripcija u toku. Za svaki folder u kome ima šifrovanih fajlova, generiše se poruka o otkupu (READ_ME_NOW.txt). U njoj se žrtva obaveštava šta se dogodilo i daju joj se instrukcije da kontaktira autore ransomwarea slanjem emaila na email adrese bomboms123@mail.ru ili yourfood20@mail.ru, kako bi dobila informacije o načinu plaćanja otkupa.

Za sada se ne zna koliko kriminalci traže na ime otkupa.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver nazvan ''Korona virus'' zaključava Windows

Novi malver nazvan ''Korona virus'' zaključava Windows

Budući da su škole zatvorene zbog pandemije, neka deca se zabavljaju pravljenjem malvera. Takav je slučaj sa različitim novim verzijama MBRLocker... Dalje

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Zloglasni trojanac Emotet koji stoji iza brojnih spam kampanja i napada ransomwarea, sada ima novi način napada: koristi već zaražene uređaje za ... Dalje