阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 6447阅读
  • 0回复

[安全漏洞公告专区]新型勒索软件—“GIBON”发布解密工具

级别: 论坛版主
发帖
241
云币
478
近日,ProofPoint安全研究人员马修·梅萨(Matthew Mesa)发现了一款被称为“GIBON”的新型勒索软件,该软件目前正通过恶意拉邮件进行分发传播。此外,它还在地下黑客论坛上以500美元的价格进行出售,并且似乎从今年5月份开始它就已经上架销售。 =.) :tGDp  
; 3sjTqD  
据悉,该垃圾邮件会使用包含宏的恶意文件作为附件,一旦受害者启用宏,恶意文件就会行下载并安装勒索软件到受害者的设备上。 2r]o>X  
研究人员之所以将该勒索软件称为“GIBON”,是因为他们在两处地方发现了名为“GIBON”的字符串。最开始,研究人员是在“与命令与控制(C&C)服务通信中使用的恶意软件用户代理(User Agent)字符串中”注意到了这个名字。
[L ' >  
*_HF%JYMZ  
第二处可以找到“GIBON”字符串的地方是勒索软件的控制面板,其Logo是来自俄罗斯电视公司VID。 M!%|IKw  
%ZDO0P !/  
研究人员分析发现,当第一次执行GIBON勒索软件时,它将会连接到C&C服务器,并通过向其发送一条包含时间戳、Windows版本以及采用base64编码的“注册”字符串消息来注册新的受害者。服务器的响应消息中同样会发送一个采用base64编码的字符串,GIBON会将其用作赎金票据。 hx4c`fOs  
r029E-  
qd~9uo&[Ig  
一旦受感染的设备注册了C&C服务器,勒索软件就会在本地生成一个加密密钥,随后采用base64编码字符串的形式将其发送到C&C服务器中。该恶意软件将使用密钥来加密目标计算机上的所有文件,并将.encrypt扩展名附加到所有被加密文件的文件名中。 o!c~"  
)M"xCO3a  
Y'#uZA3KA  
研究人员Lawrence Abrams在其发表的博客文章中指出,
由于受害者已被注册,且密钥也已经传输到了C&C服务器中,该恶意软件将开始加密目标计算机。在对计算机进行加密时,不管文件扩展名是什么,只要是属于非Windows文件夹中的所有文件都将成为目标文件。此外,在加密过程中,GIBON还会定期连接C&C服务器并对其执行ping操作,以此获悉加密操作是否仍在进行中。
Wd ga(8t  
该恶意软件会在每个包含已加密文件的文件夹中放置一个名为“READ_ME_NOW.txt”的赎金通知。该通知的具体内容为:
注意!您的所有文件都已被加密!想要恢复文件,[url=http://mailto:%C7%EB%B7%A2%CB%CD%D3%CA%BC%FE%D6%C1bomboms123@mail.ru/] 请发送邮件至[/url] bomboms123@mail.ru。如果您在发送完邮件的24小时内未受到该邮件的回复,请通过yourfood20@mail.ru联系GIBON的运营团队以获取付款说明。
g'2; ///  
一旦GIBON勒索软件完成对计算机文件的加密进程后,它将向C&C服务器发送一条消息,其中包含字符串“finish”、时间戳、Windows版本以及被加密文件的数量等信息 dOKe}?}==  
不过,值得庆幸的好消息是,研究人员已经发布了针对该勒索软件的解密程序,已经中招的受害者可以通过GibonDecrypter进行解密。 X/m~^  
'tjqfR  
1?Tj  
r8[)Ccv  
Decryption Tool下载地址  NfmHa  
NK:! U  
HXkXDX9&'.  
本文翻译自:http://securityaffairs.co/wordpress/65214/malware/gibon-ransomware.html,转自原文地址: http://www.4hou.com/info/news/8352.html Az:A,;~+,!  
+%K~HYN  
{A)9ePgv!  
*u< ZQq  
阿里上业务加密勒索防护方案 aY6F4,7/B  
https://help.aliyun.com/knowledge_detail/48701.html Nu'ox. V  
HuQdQ*Q  
BPVOBL@   
[ 此帖被正禾在2017-11-14 09:39重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 53 + 6 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)