GIBON

Gibon Ransomware

(шифровальщик-вымогатель, RaaS) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: GIBON RANSOMWARE. Разработчик: AUS_8.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: предыдущие Ransomware того же разработчика > Gibon > DCRTR, DCRTR-WDM

Этимология названия: 
Слово GIBON замечено в трёх местах:
- на форумных площадках, где GIBON был представлен;
- на админ-панели оригинальной Encryption machine 'GIBON'
- в строке юзер-агента при его общении с C&C-сервером. 

Картинка в центре заимствована из логотипа телекомпании ВИD

См. поле User-Agent GIBON

К зашифрованным файлам добавляется расширение .encrypt

Активность этого крипто-вымогателя пришлась на начало ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_ME_NOW.txt

Содержание записки о выкупе:
Attention! All the files are encrypted! 
To restore the files, write to the mail: bomboms123@mail.ru
If you do not receive a response from this mail within 24 hours, 
then write to the subsidiary: yourfood20@mail.ru

Перевод записки на русский язык:
Внимание! Все файлы зашифрованы!
Чтобы восстановить файлы, пишите на почту: bomboms123@mail.ru
Если вы не получите ответ на письмо в течение 24 часов,
то пишите в филиал: yourfood20@mail.ru

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (вложенный вредоносный документ содержит макросы), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Лоуренс Абрамс предположил, как GIBON Ransomware шифрует файлы на ПК. При первом запуске GIBON подключается к своему C&C-серверу и регистрирует новую жертву, отправив строку в base64-кодировке, содержащую штамп-времени, версию Windows и строку "register". Наличие строки регистрации сообщает C&C-серверу, что это новая жертва, зараженная в первый раз.


C&C-сервер отправляет ответ, содержащий строку в base64-кодировке, которая будет использоваться GIBON в качестве примечания о выкупе. Благодаря тому, что сервер C&C-сервер предоставляет записку о выкупе, а не жёстко закодированную в исполняемом файле строку, то разработчик-вымогатель может обновлять его "на лету" без необходимости компиляции нового исполняемого файла.

Так выглядит закодированная записка о выкупе

Примечательна фраза в начале кодированной записки и в конце поле User-Agent (см. второе изображение выше в "Этимологии"):
VASI VASI - по-русски "вась-вась". 😺


Как только жертва будет зарегистрирована на C&C-сервере, то на скомпрометированном ПК будет сгенерирован ключ шифрования и отправлен на C&C-сервер в виде строки в base64-кодировке. Этот ключ будет использоваться для шифрования всех файлов на компьютере. Как и на предыдущий запрос, C&C-сервер ответит запиской о выкупе в base64-кодировке. После этого крипто-вымогатель начнёт шифровать файлы. При этом целевыми являются все файлы, независимо от расширения. Пропускается только папка Windows.

Во время процесса шифрования GIBON будет регулярно подключаться к C&C-серверу и отправлять ему PING, чтобы сообщить, что он все ещё шифрует файлы на компьютере. По окончании шифрование он отправит окончательное сообщение на сервер со строкой "finish", штампом времени, версией Windows и количеством зашифрованных файлов.

Список файловых расширений, подвергающихся шифрованию:
Все файлы, кроме тех, что находятся в папке Windows.
Это, разумеется, документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
fine.exe
READ_ME_NOW.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Джаббер: aus_8@xmpp.jp fraktal@xmpp.jp
Telegram @bishop_richi
Email: bomboms123@mail.ru и yourfood20@mail.ru
xxxxs://dublikat.one/threads/gibon-ransomware.67912/
xxxx://locobiz.ws/topic/1340-gibon-ransomware/
xxxx://hack-tool.org/threads/46332/
xxxx://way-need.ru/upload/dc5b3a0b9c0f5af04bb5cc311117e7b7.exe
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>   VT>>  VT>>
Intezer анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Подробнее Encryption machine 'GIBON' как RaaS
GIBON RANSOMWARE продаётся на форумах кибер-андеграунда с 11 мая 2017 года. 
Некоторые их таких адресов:
xxxxs://dublikat.one/threads/gibon-ransomware.67912/
xxxx://hack-tool.org/threads/46332/
xxxx://locobiz.ws/topic/1340-gibon-ransomware/

 Скриншоты Encryption machine 'GIBON'

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать GibonDecrypter для дешифровки >>
*

 Read to links: 
 Tweet on Twitter + Twitter
 ID Ransomware (ID as Gibon)
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.