به تازگی باج افزار جدیدی با نام GIBON کشف شده که تمامی فایل های ماشین آلوده را رمزنگاری می کند و بیش از بقیه پوشه ها ویندوز را هدف قرار می دهد. این بدافزار در انجمن های زیرزمینی به قیمت ۵۰۰ دلار به فروش می رسد و حداقل از ماه می سال ۲۰۱۷ میلادی در دسترس قرار گرفته است. هرچند محققان امنیتی اخیرا یک نگاه اجمالی به این باج افزار داشته اند و هفته ی گذشته یک ابزار رمزگشایی برای آن منتشر شد.
در حملاتی که از سمت این باجافزار مشاهده شده از هرزنامه برای توزیع استفاده شده است هرچند در حال حاضر هنوز مشخص نیست که مکانیسم توزیع این بدافزار چگونه است. وقتی این باجافزار ماشینی را آلوده کرد، با سرور دستور و کنترل ارتباط برقرار کرده و قربانی جدید را ثبتنام میکند و یک رشته حاوی مهر زمانی، نسخهی ویندوز و رشتهی مربوط به ثبتنام را به حالت base64 کد کرده و برای ثبتنام ارسال میکند.
سرور نیز در پاسخ، رشتهی کدشدهای را ارسال میکند که باجافزار بهعنوان پیغام باجخواهی از آن استفاده خواهد کرد. این موضوع به نویسندهی باجافزار اجازه میدهد تا بدون اجرای فایلها، پیغام باجخواهی را بهروزرسانی کرده و تغییر دهد. وقتی قربانی در سرور ثبت شد، کلیدهای رمزنگاری بهطور محلی تولید شده و کدشدهی آن به صورت base64 به سرور ارسال میشود. از این کلیدها برای رمزنگاری تمامی فایلهای قربانی استفاده شده و پسوند .encrypt به انتهای تمامی آنها اضافه میشود.
باجافزار در طول فرآیند رمزنگاری فایلها بهطور مداوم سرور را پینگ می کند تا اطلاع دهد که عملیات همچنان در حال انجام است. وقتی فرآیند رمزنگاری تمام شد، باجافزار پیامی با محتوای «اتمام» به سرور ارسال کرده و در آن مهر زمانی، نسخهی ویندوز و تعداد فایلهای رمزنگاریشده را نیز اعلام میکند.
باجافزار GIBON در هر پوشهای که فایلهای آن را رمزنگاری کرده باشد، پیغام باجخواهی را قرار میدهد. در این پیغام به قربانی اطلاع میدهد که چه اتفاقی افتاده و برای ارتباط با نویسندگان بدافزار آدرس ایمیل bomboms123@mail.ru و یا subsidiary:yourfood20@mail.ru را ارائه میدهد تا دستورات مربوط به پرداخت باج را دریافت کند.
وقتی تبلیغات مربوط به این باجافزار مورد بررسی قرار گرفت، محققان متوجه شدند که نویسندهی باجافزار به اشتباه ادعا کرده از رمزنگاری RSA با طول کلید ۲۰۴۸ بیت استفاده کرده است. در حقیقت از رمزنگاری دیگر استفاده شده و در نهایت کلیدهای آن رمزنگاری با الگوریتم RSA رمزنگاری شده است. نویسندگان باجافزار ادعا کردهاند که فایلهای رمزنگاریشده به هیچوجه قابل بازیابی نیستند که میبینیم این ادعا نیز غلط بوده و در حال حاضر، ابزار رمزگشایی برای باجافزار ارائه شده است.