发现新型勒索软件GIBON 攻击除 Windows 文件夹以外的文件
上周,有安全专家发现了一款新的 GIBON 勒索软件。但实际上,今年 5 月份地下黑市中就已经出现了这款勒索软件的身影。一名网名为 AUS_8 的用户在多个网站出售这款勒索软件,价格为500美元。广告语用俄语撰写,详细描述了这款软件的特点和功能。
据研究人员观察,GIBON 主要利用垃圾邮件传播,但确切的传播机制尚不清楚,主要攻击被感染计算机中除 Windows 文件夹以外的文件。感染计算机后,GIBON 会连接到其 C&C 服务器,并发送包含时间戳、Windows 版本和“注册”字符串(用于告知 C&C 新的受害者)的 base64 编码字符串去感染下一个受害者。随后,服务器会返回一个 base64 编码的字符串,作为 GIBON 的勒索通知。利用这种设置,攻击者可以即时更新赎金,而不必编译新的可执行文件。
一旦受害者注册到 C&C 服务器中,GIBON 就会在本地生成一个加密密钥,然后以 base64 编码的字符串形式将其发送到 C&C 服务器。该密钥用于加密计算机上的所有文件,并为所有加密文件附加上 .encrypt 扩展名。在加密过程中,GIBON 会继续对服务器执行 ping 操作,表示加密正在进行。加密完成后,则会向服务器发送最终消息,包含字符串“完成”、时间戳、Windows 版本以及加密的文件数量。
最后,GIBON 会在每个已加密文件的文件夹中加入赎金通知,要求受害者通过电子邮件 bomboms123@mail.ru 或子公司 yourfood20@mail.ru 联系攻击者以获取付款说明。
在分析 GIBON 的广告时,研究人员发现,GIBON 作者声称使用 RSA-2048 密钥进行加密,但这并不正确。事实上,GIBON 是先添加一个密码,然后用 RSA-2048 密钥加密这个密码。此外,该作者还声称,使用 GIBON 加密的文件无法解密;但安全专家已经发布了解密器,因此,GIBON 的威胁并不可怕。
以上就是金山云为您带来的发现新型勒索软件GIBON 攻击除 Windows 文件夹以外的文件的相关内容,如果您还想了解更多新型勒索软件,发现新型勒索软件GIBON,攻击除,Windows,文件夹以外的文件的相关问题您可以点击页面中的链接进行具体了解。金山云提供云服务器,云主机,云存储,私有云,数据库,物理主机,RDS,KS3,SLB,KEC的全套产品服务,部分产品可以免费体验,而且会有定期的优惠、代金券等相关的活动。成立7年来,金山云始终坚持以客户为中心的服务理念,提供安全、可靠、稳定、高品质的云计算服务。以上是对发现新型勒索软件GIBON 攻击除 Windows 文件夹以外的文件相关介绍,如果觉得对您有帮助可以收藏。欢迎随时查看。相关资讯
-
金山云资源编排服务KOS重磅发布09.182024
-
金山云与法狗狗科技达成战略合作 共拓法律+人工智能新边界09.182024
-
星云训练营第二期圆满结营 金山云将前沿技术融入人才培养规划09.092024
-
金山云位列央国企上云服务商供应能力矩阵战略前瞻者和技术引领者07.302024
-
金山云荣获可信云三项大奖07.242024