发现新式敲诈勒索手机软件GIBON 进攻除 Windows 文

发现新式敲诈勒索手机软件GIBON 进攻除 Windows 文档夹之外的文档 GIBON 关键运用废弃物电子邮件散播,但准确的散播体制尚不清晰,关键进攻被感柒测算机中除 Windows 文档夹之外的文档。感柒测算机后,GIBON 会联接到其 C&C 服务器,高并发送包括時间戳、Windows 版本号和“申请注册”标识符串(用于告之 C&C 新的受害者)的 base64 编号标识符串去感柒下1个受害者。接着,服务器会回到1个 base64 编号的标识符串,做为 GIBON 的敲诈勒索通告。

 

 

上星期,有安全性权威专家发现了1款新的 GIBON 敲诈勒索手机软件。但具体上,2020年 5 月份地下黑市交易中就早已出現了这款敲诈勒索手机软件的影子。1名网名为 AUS_8 的客户在好几个网站售卖这款敲诈勒索手机软件,价钱为500美元。广告宣传语用俄语编写,详尽叙述了这款手机软件的特性和作用。

据科学研究人员观查,GIBON 关键运用废弃物电子邮件散播,但准确的散播体制尚不清晰,关键进攻被感柒测算机中除 Windows 文档夹之外的文档。感柒测算机后,GIBON 会联接到其 C&C 服务器,高并发送包括時间戳、Windows 版本号和 申请注册 标识符串(用于告之 C&C 新的受害者)的 base64 编号标识符串去感柒下1个受害者。接着,服务器会回到1个 base64 编号的标识符串,做为 GIBON 的敲诈勒索通告。运用这类设定,进攻者能够及时升级赎金,而无须编译程序新的可实行文档。

1旦受害者申请注册到 C C 服务器中,GIBON 就会在当地转化成1个数据加密密匙,随后以 base64 编号的标识符串方式将其推送到 C&C 服务器。该密匙用于数据加密测算机上的全部文档,并为全部数据加密文档额外上 .encrypt 拓展名。在数据加密全过程中,GIBON 会再次对服务器实行 ping 实际操作,表明数据加密正在开展。数据加密进行后,则会向服务器推送最后信息,包括标识符串 进行 、時间戳、Windows 版本号和数据加密的文档数量。

最终,GIBON 会在每一个已数据加密文档的文档夹中添加赎金通告,规定受害者根据电子器件电子邮件 bomboms123@mail.ru 或子企业 yourfood20@mail.ru 联络进攻者以获得支付表明。

在剖析 GIBON 的广告宣传时,科学研究人员发现,GIBON 作者宣称应用 RSA⑵048 密匙开展数据加密,但这其实不正确。客观事实上,GIBON 是先加上1个登陆密码,随后用 RSA⑵048 密匙数据加密这个登陆密码。另外,该作者还宣称,应用 GIBON 数据加密的文档没法解密;但安全性权威专家早已公布掌握密器,因而,GIBON 的威协其实不恐怖。

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://zzjzptp.cn/ganhuo/4153.html