ظهور باج‌افزار جدید با نام GIBON

 

به تازگی باج افزار جدیدی با نام GIBON کشف شده که تمامی فایل های ماشین آلوده را رمزنگاری می کند و بیش از بقیه پوشه ها ویندوز را هدف قرار می دهد. این بدافزار در انجمن های زیرزمینی به قیمت ۵۰۰ دلار به فروش می رسد و حداقل از ماه می سال ۲۰۱۷ میلادی در دسترس قرار گرفته است. هرچند محققان امنیتی اخیرا یک نگاه اجمالی به این باج افزار داشته اند و هفته ی گذشته یک ابزار رمزگشایی برای آن منتشر شد.


در حملاتی که از سمت این باج‌افزار مشاهده شده از هرزنامه برای توزیع استفاده شده است هرچند در حال حاضر هنوز مشخص نیست که مکانیسم توزیع این بدافزار چگونه است. وقتی این باج‌افزار ماشینی را آلوده کرد، با سرور دستور و کنترل ارتباط برقرار کرده و قربانی جدید را ثبت‌نام می‌کند و یک رشته حاوی مهر زمانی، نسخه‌ی ویندوز و رشته‌ی مربوط به ثبت‌نام را به حالت base64 کد کرده و برای ثبت‌نام ارسال می‌کند.


سرور نیز در پاسخ، رشته‌ی کدشده‌ای را ارسال می‌کند که باج‌افزار به‌عنوان پیغام باج‌خواهی از آن استفاده خواهد کرد. این موضوع به نویسنده‌ی باج‌افزار اجازه می‌دهد تا بدون اجرای فایل‌ها، پیغام باج‌خواهی را به‌روزرسانی کرده و تغییر دهد. وقتی قربانی در سرور ثبت شد، کلیدهای رمزنگاری به‌طور محلی تولید شده و کدشده‌ی آن به صورت base64 به سرور ارسال می‌شود. از این کلیدها برای رمزنگاری تمامی فایل‌های قربانی استفاده شده و پسوند .encrypt به انتهای تمامی آن‌ها اضافه می‌شود.

 
باج‌افزار در طول فرآیند رمزنگاری فایل‌ها به‌طور مداوم سرور را پینگ می کند تا اطلاع دهد که عملیات همچنان در حال انجام است. وقتی فرآیند رمزنگاری تمام شد، باج‌افزار پیامی با محتوای «اتمام» به سرور ارسال کرده و در آن مهر زمانی، نسخه‌ی ویندوز و تعداد فایل‌های رمزنگاری‌شده را نیز اعلام می‌کند. 


باج‌افزار GIBON در هر پوشه‌ای که فایل‌های آن را رمزنگاری کرده باشد، پیغام باج‌خواهی را قرار می‌دهد. در این پیغام به قربانی اطلاع می‌دهد که چه اتفاقی افتاده و برای ارتباط با نویسندگان بدافزار آدرس ایمیل bomboms123@mail.ru و یا subsidiary:yourfood20@mail.ru را ارائه می‌دهد تا دستورات مربوط به پرداخت باج را دریافت کند. 


وقتی تبلیغات مربوط به این باج‌افزار مورد بررسی قرار گرفت، محققان متوجه شدند که نویسنده‌ی باج‌افزار به اشتباه ادعا کرده از رمزنگاری RSA با طول کلید ۲۰۴۸ بیت استفاده کرده است. در حقیقت از رمزنگاری دیگر استفاده شده و در نهایت کلیدهای آن رمزنگاری با الگوریتم RSA رمزنگاری شده است. نویسندگان باج‌افزار ادعا کرده‌اند که فایل‌های رمزنگاری‌شده به هیچ‌وجه قابل بازیابی نیستند که می‌بینیم این ادعا نیز غلط بوده و در حال حاضر، ابزار رمزگشایی برای باج‌افزار ارائه شده است. 

 

منبع

پست‌های مشابه

Leave a Comment