GIBON Ransomware didistribusikan melalui Malspam

Computer Security News

Peneliti ProofPoint Matius Mesa menemukan strain baru ransomware yang disebut GIBON, yang didistribusikan melalui malspam.

Pesan spam menggunakan dokumen berbahaya sebagai lampiran yang mengandung Macro bahwa ketika diaktifkan, mereka akan men-download dan menginstal ransomware pada mesin korban.

Matius Mesa disebut ancaman GIBON ransomware karena adanya string “GIBON” di dua tempat.

String ini pertama kali melihat di user agent string malware menggunakan dalam komunikasi dengan server Command & Control.

Tempat kedua mana string “GIBON” dapat ditemukan adalah panel Admin untuk ransomware.

Dieksekusi, GIBON ransomware akan terhubung ke C & C dan mendaftar korban baru dengan mengirimkan base64 dikodekan string yang berisi timestamp, versi Windows, dan string “registrasi”.

Setelah itu, C & C akan mengirimkan kembali respon yang berisi base64 encoded string yang akan digunakan oleh GIBON ransomware sebagai uang tebusan catatan.

Terdaftar dengan C & C, terinfeksi komputer lokal akan menghasilkan kunci enkripsi dan mengirimkannya ke server sebagai string base64 dikodekan.

GIBON ransomware akan menggunakan kunci untuk mengenkripsi semua file pada komputer target dan akan menambahkan ekstensi .encrypt ke nama file yang dienkripsi.

“Sekarang bahwa korban telah terdaftar dan kunci ditransmisikan ke C2, ransomware akan mulai untuk mengenkripsi komputer. Sementara enkripsi komputer, itu akan menargetkan semua file tanpa ekstensi selama mereka tidak berada dalam Windows folder.” membaca posting blog keamanan.

“Selama proses enkripsi, GIBON rutin akan terhubung ke C2 server dan mengirimkannya “PING” untuk menunjukkan bahwa itu adalah masih enkripsi komputer. “

GIBON ransomware menjatuhkan catatan tebusan di setiap folder yang berisi file yang dienkripsi dan menghasilkan catatan tebusan yang disebut READ_ME_NOW.txt.

“Perhatian! Semua file yang dienkripsi!
Untuk mengembalikan file, menulis ke mail:bomboms123@mail.ru
Jika Anda tidak menerima tanggapan dari email ini dalam waktu 24 jam
kemudian menulis untuk subsidiary:yourfood20@mail.ru “

Setelah menyelesaikan enkripsi file, GIBON ransomware akan mengirim pesan ke C & C server dengan string “selesai”, timestamp, versi Windows dan jumlah file yang dienkripsi.

Namun, Kabar baik di sini adalah bahwa korban dapat mendekripsi semua file yang dienkripsi oleh GIBON ransomware dengan menggunakan GibonDecrypter yang dapat ditemukan di Internet.


Leave a Reply

Your email address will not be published. Required fields are marked *