Ransomware GIBON se širi preko spam emailova

Opisi virusa, 07.11.2017, 00:30 AM

Ransomware GIBON se širi preko spam emailova

Istraživač iz firme ProofPoint Metju Mesa otkrio je prošle nedelje novi ransomware nazvan GIBON koji se trenutno širi preko spam emailova sa malicioznim dokumentom koji sadrži makroe koji preuzimaju i instaliraju ransomware na računar.

Sada je otkriveno da se GIBON prodaje na forumima sajber podzemlja još od maja 2017. Ransomware prodaje neko ko se potpisuje kao AUS_8 i koji za GIBON traži 500 dolara. Oglas za malver je napisan na ruskom.

AUS_8 tvrdi da je nemoguće dešifrovati fajlove. Međutim, to nije istina. Postoji dekriptor koga žrtve mogu preuzeti i pomoću koga mogu dešifrovati svoje fajlove. Drugo, u oglasu se tvrdi da se enkripcija vrši 2048-bitnim ključem, što nije u potpunosti tačno. Fajlovi se zapravo šifruju pomoću lokalno generisanog ključa koji se šifruje sa RSA-2048 ključem.

Čini se da prodaja ransomwarea ne ide dobro, s obzirom da je primećana samo jedna kampanja distribucije GIBON-a, a da se malver reklamira na forumima već pet meseci.

Kada je reč o načinu rada ovog ransomwarea, kada se GIBON pokrene on se povezuje sa komandno-kontrolnim serverom da bi registrovao novoinficirani računar. Lokalno se generiše ključ koji se šalje C&C serveru i koji će biti korišćen za šifrovanje svih fajlova na računaru, bez obzira na ekstenziju. Šifrovanja će biti pošteđeni fajlovi u Windows folderu. GIBON dodaje ekstenziju .encrypt nazivima šifrovanih fajlova. Tokom procesa enkripcije GIBON se povezuje sa serverom da bi ga obavestio da je enkripcija u toku. Za svaki folder u kome ima šifrovanih fajlova, generiše se poruka o otkupu (READ_ME_NOW.txt). U njoj se žrtva obaveštava šta se dogodilo i daju joj se instrukcije da kontaktira autore ransomwarea slanjem emaila na email adrese bomboms123@mail.ru ili yourfood20@mail.ru, kako bi dobila informacije o načinu plaćanja otkupa.

Za sada se ne zna koliko kriminalci traže na ime otkupa.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver Stresspaint krade Facebook lozinke

Malver Stresspaint krade Facebook lozinke

Stručnjaci firme Radware primetili su novi malver koji krade informacije - lozinke iz Chromea i kolačiće sesije. Malver izgleda da posebno nastoji... Dalje

Bankarski trojanac TrickBot sada može da zaključa ekran i ucenjuje žrtvu

Bankarski trojanac TrickBot sada može da zaključa ekran i ucenjuje žrtvu

Najnovijoj verziji bankarskog trojanca TrickBot dodata je komponenta koja zaključava ekran, što ukazuje na to da distributeri malvera uskoro mogu po... Dalje

50000 žrtava ransomwarea GandCrab, kriminalci za 2 meseca zaradili 600000 dolara

50000 žrtava ransomwarea GandCrab, kriminalci za 2 meseca zaradili 600000 dolara

Početkom meseca, rumunska policija i Europol zaplenili su komandno-kontrolne servere ransomwarea GandCrab, što im je omogućilo da dođu do ključev... Dalje

Prilex, malver koji klonira kreditne kartice

Prilex, malver koji klonira kreditne kartice

Istraživači kompanije Kaspersky Lab otkrili su da grupa odgovorna za nastanak PoS (point-of-sale) malvera Prilex, sada može da pretvara podatke sa ... Dalje

Slingshot: Špijun iz rutera

Slingshot: Špijun iz rutera

Istraživači kompanije Kaspersky Lab otkrili su sofisticirani malver koja se koristio za sajber špijunažu na Bliskom istoku i Africi, u periodu od ... Dalje