黑基网 首页 资讯 安全圈 查看内容

新型勒索软件GIBON现身,针对Windows文件夹以外所有文件

2017-11-9 00:32| 投稿: lofor |来自: 互联网

摘要: 最近,有安全研究人员发现一款名为“GIBON”的勒索软件正在在地下黑客论坛上以500美元的价格出售,并且似乎从今年5月份开始它就已经被上架。GIBON针对受感染计算机上除了位于Windows文件夹的文件之外的所有文件。目 ...

最近,有安全研究人员发现一款名为“GIBON”的勒索软件正在在地下黑客论坛上以500美元的价格出售,并且似乎从今年5月份开始它就已经被上架。

GIBON针对受感染计算机上除了位于Windows文件夹的文件之外的所有文件。目前,研究人员只观察到他通过钓鱼邮件进行分发,但具体的传播机制尚不清楚。

研究人员描述,GIBON一旦感染了某台计算机,就会连接到它的C&C服务器,并通向其发送一条包含时间戳、Windows版本以及采用base64编码的字符串“ register(注册)”的消息,用以告知C&C服务器“这是一个新的受害者”。

服务器的响应消息中同样包含一个采用base64编码的字符串,GIBON会将其用作赎金票据。这种设置允许GIBON的运营团队在运行中更新赎金,而不必编译新的可执行文件。

一旦受害者被注册,勒索软件就会在本地生成一个加密密钥,然后以采用base64编码字符串的形式将其发送到C&C服务器。密钥用于加密计算机上的所有文件,并将.encrypt扩展名附加到每个被加密文件的文件名中。

在加密过程中,攻击者会继续对服务器执行ping操作,以获悉加密是否仍在进行中。当GIBON完成加密进程后,它会向C&C服务器发送一条最终消息,其中包含字符串“finish”、时间戳、Windows版本以及被加密文件的数量。

GIBON会在每个已加密文件的文件夹放置一个赎金票据(READ_ME_NOW.txt),向受害者提供有关发生的事情的信息,并通过电子邮件[email protected][email protected]联系GIBON的运营团队以获取付款说明。

好消息是,研究人员在上周发布了一个关于GIBON的解密器(下载地址:download.bleepingcomputer.com/demonslay335/GibonDecrypter.zip),受害者可以通过它来解密文件而无需支付赎金。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部