пятница, 3 ноября 2017 г.

GIBON

Gibon Ransomware

(шифровальщик-вымогатель, RaaS)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: GIBON RANSOMWARE. Разработчик: AUS_8.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

Этимология названия: 
Слово GIBON замечено в трёх местах:
- на форумных площадках, где GIBON был представлен;
- на админ-панели оригинальной Encryption machine 'GIBON'
- в строке юзер-агента при его общении с C&C-сервером. 


Картинка в центре заимствована из логотипа телекомпании ВИD
См. поле User-Agent GIBON


К зашифрованным файлам добавляется расширение .encrypt

Активность этого крипто-вымогателя пришлась на начало ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_ME_NOW.txt
Gibon Ransomware

Содержание записки о выкупе:
Attention! All the files are encrypted! 
To restore the files, write to the mail:bomboms123@mail.ru
If you do not receive a response from this mail within 24 hours, 
then write to the subsidiary:yourfood20@mail.ru

Перевод записки на русский язык:
Внимание! Все файлы зашифрованы!
Чтобы восстановить файлы, пишите на почту: bomboms123@mail.ru
Если вы не получите ответ на письмо в течение 24 часов,
то пишите в дочернее предприятие: yourfood20@mail.ru



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (вложенный вредоносный документ содержит макросы), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Лоуренс Абрамс предположил, как GIBON Ransomware шифрует файлы на ПК. При первом запуске GIBON подключается к своему C&C-серверу и регистрирует новую жертву, отправив строку в base64-кодировке, содержащую штамп-времени, версию Windows и строку "register". Наличие строки регистрации сообщает C&C-серверу, что это новая жертва, зараженная в первый раз.


C&C-сервер отправляет ответ, содержащий строку в base64-кодировке, которая будет использоваться GIBON в качестве примечания о выкупе. Благодаря тому, что сервер C&C-сервер предоставляет записку о выкупе, а не жёстко закодированную в исполняемом файле строку, то разработчик-вымогатель может обновлять его "на лету" без необходимости компиляции нового исполняемого файла.
Так выглядит закодированная записка о выкупе

Примечательна фраза в начале кодированной записки и в конце поле User-Agent (см. второе изображение выше в "Этимологии"):
VASI VASI - по-русски "вась-вась". 😺


Как только жертва будет зарегистрирована на C&C-сервере, то на скомпрометированном ПК будет сгенерирован ключ шифрования и отправлен на C&C-сервер в виде строки в base64-кодировке. Этот ключ будет использоваться для шифрования всех файлов на компьютере. Как и на предыдущий запрос, C&C-сервер ответит запиской о выкупе в base64-кодировке. После этого крипто-вымогатель начнёт шифровать файлы. При этом целевыми являются все файлы, независимо от расширения. Пропускается только папка Windows.

Во время процесса шифрования GIBON будет регулярно подключаться к C&C-серверу и отправлять ему PING, чтобы сообщить, что он все ещё шифрует файлы на компьютере. По окончании шифрование он отправит окончательное сообщение на сервер со строкой "finish", штампом времени, версией Windows и количеством зашифрованных файлов.

Список файловых расширений, подвергающихся шифрованию:
Все файлы, кроме тех, что находятся в папке Windows.
Это, разумеется, документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
fine.exe
READ_ME_NOW.txt


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Джаббер: aus_8@xmpp.jp fraktal@xmpp.jp
Telegram @bishop_richi
Email: bomboms123@mail.ru и yourfood20@mail.ru
xxxxs://dublikat.one/threads/gibon-ransomware.67912/
xxxx://locobiz.ws/topic/1340-gibon-ransomware/
xxxx://hack-tool.org/threads/46332/
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> + VT >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Подробнее Encryption machine 'GIBON' как RaaS
GIBON RANSOMWARE продаётся на форумах кибер-андеграунда с 11 мая 2017 года. 
Некоторые их таких адресов:
xxxxs://dublikat.one/threads/gibon-ransomware.67912/
xxxx://hack-tool.org/threads/46332/
xxxx://locobiz.ws/topic/1340-gibon-ransomware/
 Скриншоты Encryption machine 'GIBON'




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать GibonDecrypter для дешифровки >>
*
 Read to links: 
 Tweet on Twitter + Twitter
 ID Ransomware (ID as Gibon)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Your donation / Ваш вклад

Please Donate To Bitcoin Address: [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton