Ransomware GIBON se širi preko spam emailova

Opisi virusa, 07.11.2017, 00:30 AM

Ransomware GIBON se širi preko spam emailova

Istraživač iz firme ProofPoint Metju Mesa otkrio je prošle nedelje novi ransomware nazvan GIBON koji se trenutno širi preko spam emailova sa malicioznim dokumentom koji sadrži makroe koji preuzimaju i instaliraju ransomware na računar.

Sada je otkriveno da se GIBON prodaje na forumima sajber podzemlja još od maja 2017. Ransomware prodaje neko ko se potpisuje kao AUS_8 i koji za GIBON traži 500 dolara. Oglas za malver je napisan na ruskom.

AUS_8 tvrdi da je nemoguće dešifrovati fajlove. Međutim, to nije istina. Postoji dekriptor koga žrtve mogu preuzeti i pomoću koga mogu dešifrovati svoje fajlove. Drugo, u oglasu se tvrdi da se enkripcija vrši 2048-bitnim ključem, što nije u potpunosti tačno. Fajlovi se zapravo šifruju pomoću lokalno generisanog ključa koji se šifruje sa RSA-2048 ključem.

Čini se da prodaja ransomwarea ne ide dobro, s obzirom da je primećana samo jedna kampanja distribucije GIBON-a, a da se malver reklamira na forumima već pet meseci.

Kada je reč o načinu rada ovog ransomwarea, kada se GIBON pokrene on se povezuje sa komandno-kontrolnim serverom da bi registrovao novoinficirani računar. Lokalno se generiše ključ koji se šalje C&C serveru i koji će biti korišćen za šifrovanje svih fajlova na računaru, bez obzira na ekstenziju. Šifrovanja će biti pošteđeni fajlovi u Windows folderu. GIBON dodaje ekstenziju .encrypt nazivima šifrovanih fajlova. Tokom procesa enkripcije GIBON se povezuje sa serverom da bi ga obavestio da je enkripcija u toku. Za svaki folder u kome ima šifrovanih fajlova, generiše se poruka o otkupu (READ_ME_NOW.txt). U njoj se žrtva obaveštava šta se dogodilo i daju joj se instrukcije da kontaktira autore ransomwarea slanjem emaila na email adrese bomboms123@mail.ru ili yourfood20@mail.ru, kako bi dobila informacije o načinu plaćanja otkupa.

Za sada se ne zna koliko kriminalci traže na ime otkupa.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi Android malver Catelites Bot oponaša 2200 aplikacija banaka

Novi Android malver Catelites Bot oponaša 2200 aplikacija banaka

Novi dan, novi Android malver. Istraživači iz kompanija SfyLabs i Avast zajedno su analizirali novi malver nazvan Catelites Bot koji može da lažir... Dalje

Novi ransomware GlobeImposter se širi pomoću spam emailova

Novi ransomware GlobeImposter se širi pomoću spam emailova

Ako dobijete email sa fotografijom, naslovljen sa "Emailing: IMG_20171221_", oprezno, moguće je da je reč o emailu koji je poslat sa zadatkom da inf... Dalje

Malver Digmine se širi preko Facebook Messengera

Malver Digmine se širi preko Facebook Messengera

Korisnici Facebooka u nekoliko zemalja ciljevi su kampanje u kojoj se distribuira novi malver nazvan Digmine koji instalira majner kriptovalute Monero... Dalje

Novi ransomware FileSpider se širi Balkanom, na meti korisnici u Srbiji, BIH i Hrvatskoj

Novi ransomware FileSpider se širi Balkanom, na meti korisnici u Srbiji, BIH i Hrvatskoj

Korisnici interneta u Srbiji, Bosni i Hercegovini i Hrvatskoj ciljevi su novog ransomwarea nazvanog FileSpider koji se širi preko spam emailova koji ... Dalje

Malver Troubleshooter plaši korisnike ''plavim ekranom smrti'' - evo besplatnog rešenja

Malver Troubleshooter plaši korisnike ''plavim ekranom smrti'' - evo besplatnog rešenja

Zloglasni plavi ekran smrti (BSOD) je jedan od najstrašnijih prizora za korisnike Windowsa. Očigledno na to računaju autori novog malvera koji prik... Dalje