Un nuevo ransomware llamado GIBON, nuevamente malspam (malware propagado por correo electrónico), adjunta un archivo malicioso y contiene la macro de descarga, instala el código malicioso para chantajear a la computadora de la víctima.
Aunque no hay mucha información sobre este malspam, al menos sabes cómo operarlo y por suerte se puede decodificar. Entonces, si es víctima de este ransomware, descargue la herramienta de descifrado de archivos aquí. https://download.bleepingcomputer.com/demonslay335/GibonDecrypter.zip
¿Por qué se llama ransomware GIBON?
Cuando aparece un nuevo código malicioso, los investigadores suelen nombrar la cadena que se encuentra en el archivo ejecutable o el propio malware, lo que sugiere un esquema de nombres.
Gibon Ransomware se comunica con el servidor C2
El nombre de GIBON proviene de 2 ubicaciones. La primera es la cadena de identificación de GIBON (agente de usuario) que se utiliza para comunicarse con el servidor C&C. El segundo es el panel de administrador. En la imagen de abajo, también puede verlo llamándose a sí mismo ‘máquina de codificación GIBON’.
Panel de control del administrador de GIBON
Ver también: 10 tipos típicos de malware
¿Cómo encripta GIBON las computadoras?
Aunque no hay información detallada sobre cómo hackear GIBON, así es como cifra los datos informáticos de la víctima. Al inicio, GIBON se conecta al servidor C&C y registra a la nueva víctima, enviando una cadena codificada en base64 que contiene la marca de tiempo, la versión de Windows y la cadena de ‘registro’. Esto le dirá a C2 que esta es una nueva víctima.
Luego, C2 envía una respuesta que contiene la cadena codificada en base64 utilizada para el aviso de extorsión. Usando el servidor C2 para crear una notificación de chantaje, en lugar de estar disponible para el archivo ejecutable, el atacante puede actualizarlo fácilmente sin tener que ejecutar un nuevo archivo ejecutable.
Al registrarse con C2, habrá un código clave que codifica el XOR enviado a C2 basado en la cadena base64, que se utiliza para cifrar todos los archivos en la computadora. La extensión de la extensión es .encrypt. En el proceso, GIBON envía periódicamente un ping a C2 para indicar que todavía está encriptado.
Los archivos cifrados tienen extensiones .encrypt adicionales
Cada carpeta cifrada también tendrá un aviso de extorsión por separado. READ_ME_NOW.txt que proporciona información e instrucciones pagadas.
Aviso de extorsión de GIBON
Cuando se completa, el ransomware envía un mensaje a C2 con una cadena ‘final’ con una marca de tiempo, una versión de Windows y la cantidad de archivos cifrados.
Ver también: Habilitar el acceso a la carpeta controlado por ransomware en Windows 10
Información del COI sobre GIBON Ransomware
Cerca
SHA256: 30b5c4609eadafc1b4f97b906a4928a47231b525d6d5c9028c873c4421bf6f98
Archivos relacionados
READ_ME_NOW.txt
Relacionado con el correo electrónico
[email protected]
subsidiaria: [email protected]
Aviso de extorsión
¡Atención! Cã có tập tin được tập tin đã được xác thực!
Để phục hồi tập tin, ghi vào thư: [email protected]
Nếu bạn không nhận ra chau trả lời từ thư này trong 24 giờ,
rồi ghi vào tên chính của: bạ[email protected]
código de cifrado de datos de malspam de extorsión de ransomware
Un nuevo ransomware llamado GIBON, nuevamente malspam (malware propagado por correo electrónico), adjunta un archivo malicioso y contiene la macro de descarga, instala el código malicioso para chantajear a la computadora de la víctima.
Aunque no hay mucha información sobre este malspam, al menos sabes cómo operarlo y por suerte se puede decodificar. Entonces, si es víctima de este ransomware, descargue la herramienta de descifrado de archivos aquí. https://download.bleepingcomputer.com/demonslay335/GibonDecrypter.zip
¿Por qué se llama ransomware GIBON?
Cuando aparece un nuevo código malicioso, los investigadores suelen nombrar la cadena que se encuentra en el archivo ejecutable o el propio malware, lo que sugiere un esquema de nombres.
Gibon Ransomware se comunica con el servidor C2
El nombre de GIBON proviene de 2 ubicaciones. La primera es la cadena de identificación GIBON (agente de usuario) que se utiliza para comunicarse con el servidor C&C. El segundo es el panel de administrador. En la imagen de abajo, también puede verlo llamándose a sí mismo ‘máquina de codificación GIBON’.
Panel de control del administrador de GIBON
Ver también: 10 tipos típicos de malware
¿Cómo encripta GIBON las computadoras?
Aunque no se dispone de información detallada sobre cómo hackear GIBON, así es como cifra los datos informáticos de la víctima. Al inicio, GIBON se conecta al servidor C&C y registra a la nueva víctima, enviando una cadena codificada en base64 que contiene la marca de tiempo, la versión de Windows y la cadena de ‘registro’. Esto le dirá a C2 que esta es una nueva víctima.
Luego, C2 envía una respuesta que contiene la cadena codificada en base64 utilizada para el aviso de extorsión. Al utilizar el servidor C2 para crear una notificación de chantaje en lugar de estar disponible para el archivo ejecutable, el atacante puede actualizarlo fácilmente sin tener que ejecutar un nuevo archivo ejecutable.
Al registrarse con C2, habrá un código clave que codifica el XOR enviado a C2 basado en la cadena base64, que se utiliza para cifrar todos los archivos en la computadora. La extensión de la extensión es .encrypt. En el proceso, GIBON envía periódicamente un ping a C2 para indicar que todavía está encriptado.
Los archivos cifrados tienen extensiones .encrypt adicionales
Cada carpeta cifrada también tendrá un aviso de extorsión por separado. READ_ME_NOW.txt que proporciona información e instrucciones pagadas.
Aviso de extorsión de GIBON
Cuando se completa, el ransomware envía un mensaje a C2 con una cadena ‘final’ con una marca de tiempo, una versión de Windows y la cantidad de archivos cifrados.
Ver también: Habilitar el acceso a la carpeta controlado por ransomware en Windows 10
Información del COI sobre GIBON Ransomware
Cerca
SHA256: 30b5c4609eadafc1b4f97b906a4928a47231b525d6d5c9028c873c4421bf6f98
Archivos relacionados
READ_ME_NOW.txt
Relacionado con el correo electrónico
[email protected]
subsidiaria: [email protected]
Aviso de extorsión
¡Atención! Cã có tập tin được tập tin đã được xác thực!
Để phục hồi tập tin, ghi vào thư: [email protected]
Nếu bạn không nhận ra chau trả lời từ thư này trong 24 giờ,
rồi ghi vào tên chính của: bạ[email protected]