Um novo ransomware foi descoberto pelo pesquisador da ProofPoint,  Matthew Mesa,  chamado GIBON. Este ransomware está sendo distribuído atualmente via malspam com um documento malicioso anexado, que contém macros que irão baixar e instalar o ransomware em um computador. Infelizmente, mais informações sobre o malspam atualmente não estão disponíveis no momento.

No entanto, fornecemos informações abaixo sobre o funcionamento do ransomware e graças a  Michael Gillespie , é desencriptável. Então, se você é uma vítima, você pode baixar um decodificador aqui . Se você precisar de ajuda, entre em contato conosco no nosso tópico de suporte e ajuda do GIBON Ransomware .

Por que é chamado GIBON Ransomware?

Quando um novo resgate é descoberto, nem sempre é fácil criar um bom nome para ele. Às vezes, os pesquisadores usarão as cordas encontradas nos executáveis ​​e outras vezes o malware em si nos dará pistas sobre o que devemos chamar.

Com o GIBON Ransomware, é o último como seu nome nos é fornecido dois lugares. O primeiro lugar é a seqüência de agente do usuário de GIBON que é usada quando se comunica com o servidor Command & Control.

Figura 1 – Comunicação com o servidor C2
Fonte: Bleeping Computer

A segunda localização que nos informa o nome é no painel de administração do próprio Ransomware, que é mostrado abaixo. No site abaixo, você pode ver claramente que ele se chama “Máquina de criptografia” GIBON ‘”. Para aqueles que são curiosos, o logotipo abaixo é da empresa de televisão russa VID.

Figura 2 – Painel de Administração do Gibon
Fonte: Bleeping Computer

Como o GIBON Ransomware criptografa um computador

Embora os detalhes completos sobre a sua entrega não estejam disponíveis, posso fornecer algumas informações sobre como o GIBON Ransomware criptografa um computador. Quando o GIBON for iniciado, ele se conectará ao Servidor de Comando e Controle do ransomware e registrará uma nova vítima enviando uma seqüência codificada base64 que contenha o carimbo de data / hora, a versão do Windows e a seqüência de “registro”. A presença da seqüência de registro indica ao C2 que esta é uma nova vítima infectada pela primeira vez.

O C2 enviará uma resposta que contém uma seqüência codificada base64 que será usada pela GIBON como a nota de resgate. Ao fazer com que o servidor C2 forneça a nota de resgate em vez de ser codificado no executável, o desenvolvedor pode atualizá-la sem a necessidade de compilar um novo executável.

Figura 3 – Resposta com a Nota de Resgate
Fonte: Bleeping Computer

Uma vez que uma vítima é registrada com o C2, ele gerará localmente uma chave de criptografia XOR e enviará para o servidor C2 como uma string codificada base64. Essa chave será usada para criptografar todos os arquivos no computador. Como o pedido anterior, o C2 responderá com a nota de resgate.

Agora que a vítima foi registrada e a chave transmitida para o C2, o ransomware começará a criptografar o computador. Ao criptografar o computador, ele irá segmentar todos os arquivos, independentemente da extensão, desde que não estejam na pasta do Windows.

Ao criptografar os arquivos, o GIBON anexará a extensão .encrypted ao nome do arquivo criptografado. Por exemplo, um arquivo chamado test.jpg seria criptografado e nomeado como test.jpg.encrypted. Você pode ver uma pasta de arquivos criptografados abaixo.

Figura 4 – Arquivos Criptografados
Fonte: Bleeping Computer

Durante o processo de criptografia, o GIBON conectará rotineiramente ao servidor C2 e enviará um “PING” para indicar que ainda está criptografando o computador.

Para cada pasta que um arquivo está criptografado, ele também gerará uma nota de resgate chamada  READ_ME_NOW.txt. Esta nota de resgate fornecerá informações sobre o que aconteceu com os arquivos da vítima e instruções para entrar em contato com os emails bomboms123@mail.ru ou subsidiária: yourfood20@mail.ru para obter instruções de pagamento.

Figura 5 – Nota de Resgate Fonte: Bleeping Computer

Quando o ransomware terminou de criptografar um computador, ele enviará uma mensagem final para o servidor C2 com a string “finish”, um timestamp, a versão do Windows e a quantidade de arquivos criptografados.

Neste momento, atualmente não se sabe quanto de ransomware os desenvolvedores estão exigindo. Como afirmado anteriormente, a boa notícia é que este ransomware pode ser descriptografado usando este desencriptador.

Como se proteger do GIBON Ransomware

Para se proteger de GIBON, ou de qualquer ransomware, é importante que você use bons hábitos de computação e software de segurança. Em primeiro lugar, você sempre deve ter um backup confiável e testado de seus dados que podem ser restaurados no caso de uma emergência, como um ataque de ransomware.

Você também deve ter um software de segurança que contenha detecções comportamentais, como  Emsisoft Anti-Malware ,  Malwarebytes ou HitmanPro: Alert.

Por último, mas não menos importante, certifique-se de praticar os seguintes bons hábitos de segurança online, que em muitos casos são os passos mais importantes de todos:

  • Backup, Backup, Backup!
  • Não abra anexos se não souber quem os enviou.
  • Não abra anexos até confirmar que a pessoa realmente o enviou,
  • Digitalize anexos com ferramentas como o VirusTotal.
  • Verifique se todas as atualizações do Windows estão instaladas assim que elas saem! Certifique-se também de atualizar todos os programas, especialmente Java, Flash e Adobe Reader. Os programas mais antigos contêm vulnerabilidades de segurança que são comumente exploradas por distribuidores de malware. Portanto, é importante mantê-los atualizados.
  • Certifique-se de usar algum tipo de software de segurança instalado.
  • Use senhas rígidas e nunca reutilize a mesma senha em vários sites.

Fonte: BLEEPINGCOMPUTER

Imagem: <a href=”https://br.freepik.com/fotos-gratis/firewall-de-dados-em-preto-branco-de-notebook_1150276.htm”>Designed by Jcomp</a>