Еще на прошлой неделе специалист компании ProofPoint обнаружил нового шифровальщика, распространяющегося классическим методом – через фишинговые письма.

Подробный анализ угрозы был опубликован основателем ресурса Bleeping Computer Лоренсом Абрамсом. Исследователь описал схему распространения малвари (письма с вредоносными документами и макросами), а также объяснил, почему шифровальщик получил название GIBON: именно такой user agent используется во время связи с управляющим сервером, а также название фигурирует в контрольной панели малвари (см. скриншоты ниже).

Заручившись поддержкой известного ИБ-специалиста Майкла Гиллеспи (Michael Gillespie), Абрамс установил, что расшифровать пострадавшие от GIBON данные возможно, и для этого исследователи представили специальный инструмент, загрузить который можно здесь.

Вчера, 6 ноября 2017 года, Bleeping Computer сообщил, что по данным некого анонимного источника GIBON – не такая уж новая угроза. Как оказалось, шифровальщик продается на андеграундных сайтах с мая 2017 года, и за него простят всего $500. Распространяет вымогателя пользователь с ником AUS_8, и чаще всего реклама вымогателя написана на русском языке.

Рекламное объявление

Лоренс Абрамс отмечает, что продажи, судя по малой распространенности шифровальщика, идут не слишком хорошо. К тому же специалист обратил внимание, что автор малвари лукавит в своих объявлениях. В частности, преступник заявляет, что, не оплатив выкуп, восстановить зашифрованные GIBON данные невозможно, хотя уже был создан декриптор. Также автор утверждает, что для шифрования используется ключ RSA-2048, и это тоже не совсем правда.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    4 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии