Ransomware GIBON se širi preko spam emailova

Opisi virusa, 07.11.2017, 00:30 AM

Ransomware GIBON se širi preko spam emailova

Istraživač iz firme ProofPoint Metju Mesa otkrio je prošle nedelje novi ransomware nazvan GIBON koji se trenutno širi preko spam emailova sa malicioznim dokumentom koji sadrži makroe koji preuzimaju i instaliraju ransomware na računar.

Sada je otkriveno da se GIBON prodaje na forumima sajber podzemlja još od maja 2017. Ransomware prodaje neko ko se potpisuje kao AUS_8 i koji za GIBON traži 500 dolara. Oglas za malver je napisan na ruskom.

AUS_8 tvrdi da je nemoguće dešifrovati fajlove. Međutim, to nije istina. Postoji dekriptor koga žrtve mogu preuzeti i pomoću koga mogu dešifrovati svoje fajlove. Drugo, u oglasu se tvrdi da se enkripcija vrši 2048-bitnim ključem, što nije u potpunosti tačno. Fajlovi se zapravo šifruju pomoću lokalno generisanog ključa koji se šifruje sa RSA-2048 ključem.

Čini se da prodaja ransomwarea ne ide dobro, s obzirom da je primećana samo jedna kampanja distribucije GIBON-a, a da se malver reklamira na forumima već pet meseci.

Kada je reč o načinu rada ovog ransomwarea, kada se GIBON pokrene on se povezuje sa komandno-kontrolnim serverom da bi registrovao novoinficirani računar. Lokalno se generiše ključ koji se šalje C&C serveru i koji će biti korišćen za šifrovanje svih fajlova na računaru, bez obzira na ekstenziju. Šifrovanja će biti pošteđeni fajlovi u Windows folderu. GIBON dodaje ekstenziju .encrypt nazivima šifrovanih fajlova. Tokom procesa enkripcije GIBON se povezuje sa serverom da bi ga obavestio da je enkripcija u toku. Za svaki folder u kome ima šifrovanih fajlova, generiše se poruka o otkupu (READ_ME_NOW.txt). U njoj se žrtva obaveštava šta se dogodilo i daju joj se instrukcije da kontaktira autore ransomwarea slanjem emaila na email adrese bomboms123@mail.ru ili yourfood20@mail.ru, kako bi dobila informacije o načinu plaćanja otkupa.

Za sada se ne zna koliko kriminalci traže na ime otkupa.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Žrtve ransomwarea GandCrab koji je inficirao 1,5 miliona računara sada mogu da dešifruju besplatno svoje fajlove

Žrtve ransomwarea GandCrab koji je inficirao 1,5 miliona računara sada mogu da dešifruju besplatno svoje fajlove

Istraživači iz kompanije BitDefender objavili su ažuriranu verziju alata za dešifrovanje fajlova koje je šifrovao ransomware GandCrab, koji bi mo... Dalje

Ransomware Dharma koristi legitimini antivirusni alat da žrtve ne primete šifrovanje fajlova

Ransomware Dharma koristi legitimini antivirusni alat da žrtve ne primete šifrovanje fajlova

Novi Dharma ransomware koristi instalaciju programa ESET AV Remover da bi sakrio od žrtava ono što se dešava u pozadini - šifrovanje njihovih fajl... Dalje

Malver PirateMatryoshka (''Babuška'') inficira računare posetilaca sajta Pirate Bay

Malver PirateMatryoshka (''Babuška'') inficira računare posetilaca sajta Pirate Bay

Istraživači kompanije Kaspersky Lab otkrili su novi malver koji se širi preko sajta Pirate Bay, jednog od najpopularnijih sajtova za preuzimanje to... Dalje

Ransomware GarrantyDecrypt se pretvara da štiti vaše fajlove

Ransomware GarrantyDecrypt se pretvara da štiti vaše fajlove

Pojavila se najnovija verzija ransomwarea GarrantyDecrypt, ransomwarea koga je otkrio istraživač Majkl Gilespi u oktobru 2018. godine. Iako nikada n... Dalje

Malver Rietspoof se širi preko Skypea i Facebook Messengera

Malver Rietspoof se širi preko Skypea i Facebook Messengera

Do avgusta prošle godine malver Rietspoof cirkulisao je internetom neprimećen. Onda su ga otkrili istraživači Avasta koji sada upozoravaju na eksp... Dalje