Ransomware GIBON se širi preko spam emailova

Opisi virusa, 07.11.2017, 00:30 AM

Ransomware GIBON se širi preko spam emailova

Istraživač iz firme ProofPoint Metju Mesa otkrio je prošle nedelje novi ransomware nazvan GIBON koji se trenutno širi preko spam emailova sa malicioznim dokumentom koji sadrži makroe koji preuzimaju i instaliraju ransomware na računar.

Sada je otkriveno da se GIBON prodaje na forumima sajber podzemlja još od maja 2017. Ransomware prodaje neko ko se potpisuje kao AUS_8 i koji za GIBON traži 500 dolara. Oglas za malver je napisan na ruskom.

AUS_8 tvrdi da je nemoguće dešifrovati fajlove. Međutim, to nije istina. Postoji dekriptor koga žrtve mogu preuzeti i pomoću koga mogu dešifrovati svoje fajlove. Drugo, u oglasu se tvrdi da se enkripcija vrši 2048-bitnim ključem, što nije u potpunosti tačno. Fajlovi se zapravo šifruju pomoću lokalno generisanog ključa koji se šifruje sa RSA-2048 ključem.

Čini se da prodaja ransomwarea ne ide dobro, s obzirom da je primećana samo jedna kampanja distribucije GIBON-a, a da se malver reklamira na forumima već pet meseci.

Kada je reč o načinu rada ovog ransomwarea, kada se GIBON pokrene on se povezuje sa komandno-kontrolnim serverom da bi registrovao novoinficirani računar. Lokalno se generiše ključ koji se šalje C&C serveru i koji će biti korišćen za šifrovanje svih fajlova na računaru, bez obzira na ekstenziju. Šifrovanja će biti pošteđeni fajlovi u Windows folderu. GIBON dodaje ekstenziju .encrypt nazivima šifrovanih fajlova. Tokom procesa enkripcije GIBON se povezuje sa serverom da bi ga obavestio da je enkripcija u toku. Za svaki folder u kome ima šifrovanih fajlova, generiše se poruka o otkupu (READ_ME_NOW.txt). U njoj se žrtva obaveštava šta se dogodilo i daju joj se instrukcije da kontaktira autore ransomwarea slanjem emaila na email adrese [email protected] ili [email protected], kako bi dobila informacije o načinu plaćanja otkupa.

Za sada se ne zna koliko kriminalci traže na ime otkupa.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

GravityRAT, malver koji je poznat po tome što proverava temperaturu procesora na Windows računarima da bi otkrio virtuelne mašine ili sandbox, sada... Dalje

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm (InterPlanetary Storm) koji je prvi put primećen u maju prošle godine u napadima na Windows sisteme, evoluirao je i sada inficira i d... Dalje

Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Ozloglašeni bankarski trojanac koji je krao lozinke za bankovne račune i druge finansijske informacije, sada se vratio sa novim trikovima u rukavu s... Dalje

Kriminalci koji stoje iza ransomwarea NetWalker samo od marta zaradili najmanje 29 miliona dolara

Kriminalci koji stoje iza ransomwarea NetWalker samo od marta zaradili najmanje 29 miliona dolara

Ransomware NetWalker pojavio se pre oko godinu dana, ali je tek ove godine postao ozbiljno ime u svetu sajber-kriminala, s obzirom da je od iznude "za... Dalje

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje