ظهور یک باج‌افزار جدید با نام GIBON

به تازگی یک خانواده‌ی باج‌افزار جدید به نام GIBON کشف شده است که تمام پرونده‌هایی که روی یک ماشینِ قربانی قرار دارند به جز پرونده‌های موجود در پوشه‌ی ویندوز را هدف قرار می‌دهند.

این باج‌افزار در انجمن‌های زیرزمینی با قیمت ۵۰۰ دلار به فروش می‌رسد و حداقل از ماه می سال ۲۰۱۷ در دسترس است. با این حال، پژوهش‌گران امنیتی اخیراً به صورت کلی این باج‌افزار را بررسی کرده و هفته‌ی گذشته یک ابزار رمزگشایی برای آن منتشر کرده‌اند.

حملاتی که این باج‌افزار را به کار گرفته بودند، در مواردی از هرزنامه‌های مخرب برای توزیع آن استفاده کرده بودند، اما دقیقاً مشخص نیست که عاملان این پویش از چه سازوکارهای دیگری برای توزیع استفاده می‌کنند.

وقتی باج‌افزار GIBON دستگاهی را آلوده می‌کند، به کارگزار دستور و کنترل خود متصل می‌شود و با ارسال یک رشته‌ی رمزنگاری‌شده‌ی base64 که حاوی برچسب زمانی، نسخه‌ی ویندوز، و رشته‌ی ثبت بوده و به کارگزار دستور و کنترل می‌گوید که این یک قربانی جدید است، و به این ترتیب قربانی جدید را ثبت می‌کند.

پاسخ کارگزار شامل یک رشته‌ی رمزنگاری‌شده‌ی base64 است که این باج‌افزار از آن به عنوان یادداشت باج‌خواهی استفاده می‌کند. بنابه پژوهش‌گر امنیتی به نام  لورانس آبرامز ، این نحوه‌ی قرارگیری در سامانه‌ی قربانی به نویسنده‌ی بدافزار اجازه می‌دهد که در هر حالتی یادداشت باج‌خواهی خود را تغییر دهد بدون این‌که مجبور باشد یک پرونده‌ی قابل‌اجرای دیگر را کامپایل کند.

 

وقتی قربانی ثبت شد، باج‌افزار یک کلید رمزنگاری محلی تولید می‌کند و سپس آن‌را به عنوان یک رشته‌ی رمزنگاری‌شده base64 به کارگزار دستور و کنترل ارسال می‌کند. این کلید برای رمزنگای تمام پرونده‌های موجود در سامانه استفاده می‌شود و پسوند encrypt به نام تمام پرونده‌های رمزنگاری‌شده اضافه می‌شود.

این باج‌افزار در طول فرآیند رمزنگاری پرونده‌ها به پینگ کردن کارگزار ادامه می‌دهد تا به آن اطلاع دهد که عملیات هنوز در حال انجام است. وقتی فرآیند رمزنگاری تکمیل شد، این باج‌افزار یک پیام پایانی به کارگزار ارسال می‌کند که حاوی رشته‌ی «پایان»، یک برچسب زمانی، نسخه‌ی ویندوز، و تعداد پرونده‌های رمزنگاری‌شده است.

باج‌افزار GIBON در هر پوشه‌ای که پرونده‌های موجود در آن رمزنگاری شده‌اند، یک یادداشت باج‌خواهی قرار می‌دهد، و به وسیله‌ی آن اطلاعاتی درباره‌ی آن‌چه که اتفاق افتاده به کاربران ارائه می‌کند و آن‌ها را راهنمایی می‌کند که چگونه از طریق رایانامه‌های bomboms123@mail.ru و yourfood20@mail.ru با نویسنده‌ی بدافزار ارتباط برقرار کنند تا بتوانند دستورالعمل‌های پرداخت باج را دریافت کنند.

وقتی محققان اعلان‌های مربوط به این بدافزار را بررسی کردند، متوجه شدند که نویسنده دروغ می‌گوید که از یک کلید RSA  ۲۰۴۸ بیتی برای رمزنگاری استفاده کرده است. در حقیقت، یک روش رمزنگاری اضافی مورد استفاده قرار گرفته، و سپس این باج‌افزار کلید این روش اضافی را با یک کلید RSA  ۲۰۴۸ بیتی رمزنگاری کرده است.

نویسنده‌ی باج‌افزار GIBON همچنین ادعا می‌کند که رمزگشایی پرونده‌های رمزنگاری‌شده توسط این باج‌افزار غیرممکن است، اما با توجه به این‌که در حال حاضر یک ابزار رمزگشایی منتشر شده است، این ادعا نیز نادرست است.

 

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید