пятница, 3 ноября 2017 г.

GIBON

Gibon Ransomware

(шифровальщик-вымогатель, RaaS)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: GIBON RANSOMWARE. Разработчик: AUS_8.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

Этимология названия: 
Слово GIBON замечено в трёх местах:
- на форумных площадках, где GIBON был представлен;
- на админ-панели оригинальной Encryption machine 'GIBON'
- в строке юзер-агента при его общении с C&C-сервером. 


Картинка в центре заимствована из логотипа телекомпании ВИD
См. поле User-Agent GIBON


К зашифрованным файлам добавляется расширение .encrypt

Активность этого крипто-вымогателя пришлась на начало ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_ME_NOW.txt
Gibon Ransomware

Содержание записки о выкупе:
Attention! All the files are encrypted! 
To restore the files, write to the mail:bomboms123@mail.ru
If you do not receive a response from this mail within 24 hours, 
then write to the subsidiary:yourfood20@mail.ru

Перевод записки на русский язык:
Внимание! Все файлы зашифрованы!
Чтобы восстановить файлы, пишите на почту: bomboms123@mail.ru
Если вы не получите ответ на письмо в течение 24 часов,
то пишите в дочернее предприятие: yourfood20@mail.ru



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (вложенный вредоносный документ содержит макросы), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Лоуренс Абрамс предположил, как GIBON Ransomware шифрует файлы на ПК. При первом запуске GIBON подключается к своему C&C-серверу и регистрирует новую жертву, отправив строку в base64-кодировке, содержащую штамп-времени, версию Windows и строку "register". Наличие строки регистрации сообщает C&C-серверу, что это новая жертва, зараженная в первый раз.


C&C-сервер отправляет ответ, содержащий строку в base64-кодировке, которая будет использоваться GIBON в качестве примечания о выкупе. Благодаря тому, что сервер C&C-сервер предоставляет записку о выкупе, а не жёстко закодированную в исполняемом файле строку, то разработчик-вымогатель может обновлять его "на лету" без необходимости компиляции нового исполняемого файла.
Так выглядит закодированная записка о выкупе

Примечательна фраза в начале кодированной записки и в конце поле User-Agent (см. второе изображение выше в "Этимологии"):
VASI VASI - по-русски "вась-вась". 😺


Как только жертва будет зарегистрирована на C&C-сервере, то на скомпрометированном ПК будет сгенерирован ключ шифрования и отправлен на C&C-сервер в виде строки в base64-кодировке. Этот ключ будет использоваться для шифрования всех файлов на компьютере. Как и на предыдущий запрос, C&C-сервер ответит запиской о выкупе в base64-кодировке. После этого крипто-вымогатель начнёт шифровать файлы. При этом целевыми являются все файлы, независимо от расширения. Пропускается только папка Windows.

Во время процесса шифрования GIBON будет регулярно подключаться к C&C-серверу и отправлять ему PING, чтобы сообщить, что он все ещё шифрует файлы на компьютере. По окончании шифрование он отправит окончательное сообщение на сервер со строкой "finish", штампом времени, версией Windows и количеством зашифрованных файлов.

Список файловых расширений, подвергающихся шифрованию:
Все файлы, кроме тех, что находятся в папке Windows.
Это, разумеется, документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
fine.exe
READ_ME_NOW.txt


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Джаббер: aus_8@xmpp.jp fraktal@xmpp.jp
Telegram @bishop_richi
Email: bomboms123@mail.ru и yourfood20@mail.ru
xxxxs://dublikat.one/threads/gibon-ransomware.67912/
xxxx://locobiz.ws/topic/1340-gibon-ransomware/
xxxx://hack-tool.org/threads/46332/
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> + VT >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Подробнее Encryption machine 'GIBON' как RaaS
GIBON RANSOMWARE продаётся на форумах кибер-андеграунда с 11 мая 2017 года. 
Некоторые их таких адресов:
xxxxs://dublikat.one/threads/gibon-ransomware.67912/
xxxx://hack-tool.org/threads/46332/
xxxx://locobiz.ws/topic/1340-gibon-ransomware/
 Скриншоты Encryption machine 'GIBON'




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать GibonDecrypter для дешифровки >>
*
 Read to links: 
 Tweet on Twitter + Twitter
 ID Ransomware (ID as Gibon)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton