发现新型勒索软件GIBON 攻击除 Windows 文件夹以外的文件

据研究人员观察，GIBON 主要利用垃圾邮件传播，但确切的传播机制尚不清楚，主要攻击被感染计算机中除 Windows 文件夹以外的文件。感染计算机后，GIBON 会连接到其 C＆C 服务器，并发送包含时间戳、Windows 版本和“注册”字符串（用于告知 C＆C 新的受害者）的 base64 编码字符串去感染下一个受害者。随后，服务器会返回一个 base64 编码的字符串，作为 GIBON 的勒索通知。利用这种设置，攻击者可以即时更新赎金，而不必编译新的可执行文件。

一旦受害者注册到 C&C 服务器中，GIBON 就会在本地生成一个加密密钥，然后以 base64 编码的字符串形式将其发送到 C＆C 服务器。该密钥用于加密计算机上的所有文件，并为所有加密文件附加上 .encrypt 扩展名。在加密过程中，GIBON 会继续对服务器执行 ping 操作，表示加密正在进行。加密完成后，则会向服务器发送最终消息，包含字符串“完成”、时间戳、Windows 版本以及加密的文件数量。

最后，GIBON 会在每个已加密文件的文件夹中加入赎金通知，要求受害者通过电子邮件 bomboms123@mail.ru 或子公司 yourfood20@mail.ru 联系攻击者以获取付款说明。

在分析 GIBON 的广告时，研究人员发现，GIBON 作者声称使用 RSA-2048 密钥进行加密，但这并不正确。事实上，GIBON 是先添加一个密码，然后用 RSA-2048 密钥加密这个密码。此外，该作者还声称，使用 GIBON 加密的文件无法解密；但安全专家已经发布了解密器，因此，GIBON 的威胁并不可怕。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!