GIBON Ransomware sendo distribuído por Malspam

Um novo ransomware foi descoberto pelo pesquisador da ProofPoint,  Matthew Mesa,  chamado GIBON. Este ransomware está sendo distribuído atualmente via malspam com um documento malicioso anexado, que contém macros que irão baixar e instalar o ransomware em um computador. Infelizmente, mais informações sobre o malspam atualmente não estão disponíveis no momento.

No entanto, fornecemos informações abaixo sobre o funcionamento do ransomware e graças a  Michael Gillespie , é desencriptável. Então, se você é uma vítima, você pode baixar um decodificador aqui . Se você precisar de ajuda, entre em contato conosco no nosso tópico de suporte e ajuda do GIBON Ransomware .

Por que é chamado GIBON Ransomware?

Quando um novo resgate é descoberto, nem sempre é fácil criar um bom nome para ele. Às vezes, os pesquisadores usarão as cordas encontradas nos executáveis ​​e outras vezes o malware em si nos dará pistas sobre o que devemos chamar.

Com o GIBON Ransomware, é o último como seu nome nos é fornecido dois lugares. O primeiro lugar é a seqüência de agente do usuário de GIBON que é usada quando se comunica com o servidor Command & Control.

Figura 1 – Comunicação com o servidor C2
Fonte: Bleeping Computer

A segunda localização que nos informa o nome é no painel de administração do próprio Ransomware, que é mostrado abaixo. No site abaixo, você pode ver claramente que ele se chama “Máquina de criptografia” GIBON ‘”. Para aqueles que são curiosos, o logotipo abaixo é da empresa de televisão russa VID.

Figura 2 – Painel de Administração do Gibon
Fonte: Bleeping Computer

Como o GIBON Ransomware criptografa um computador

Embora os detalhes completos sobre a sua entrega não estejam disponíveis, posso fornecer algumas informações sobre como o GIBON Ransomware criptografa um computador. Quando o GIBON for iniciado, ele se conectará ao Servidor de Comando e Controle do ransomware e registrará uma nova vítima enviando uma seqüência codificada base64 que contenha o carimbo de data / hora, a versão do Windows e a seqüência de “registro”. A presença da seqüência de registro indica ao C2 que esta é uma nova vítima infectada pela primeira vez.

O C2 enviará uma resposta que contém uma seqüência codificada base64 que será usada pela GIBON como a nota de resgate. Ao fazer com que o servidor C2 forneça a nota de resgate em vez de ser codificado no executável, o desenvolvedor pode atualizá-la sem a necessidade de compilar um novo executável.

Figura 3 – Resposta com a Nota de Resgate
Fonte: Bleeping Computer

Uma vez que uma vítima é registrada com o C2, ele gerará localmente uma chave de criptografia XOR e enviará para o servidor C2 como uma string codificada base64. Essa chave será usada para criptografar todos os arquivos no computador. Como o pedido anterior, o C2 responderá com a nota de resgate.

Agora que a vítima foi registrada e a chave transmitida para o C2, o ransomware começará a criptografar o computador. Ao criptografar o computador, ele irá segmentar todos os arquivos, independentemente da extensão, desde que não estejam na pasta do Windows.

Ao criptografar os arquivos, o GIBON anexará a extensão .encrypted ao nome do arquivo criptografado. Por exemplo, um arquivo chamado test.jpg seria criptografado e nomeado como test.jpg.encrypted. Você pode ver uma pasta de arquivos criptografados abaixo.

Figura 4 – Arquivos Criptografados
Fonte: Bleeping Computer

Durante o processo de criptografia, o GIBON conectará rotineiramente ao servidor C2 e enviará um “PING” para indicar que ainda está criptografando o computador.

Para cada pasta que um arquivo está criptografado, ele também gerará uma nota de resgate chamada  READ_ME_NOW.txt. Esta nota de resgate fornecerá informações sobre o que aconteceu com os arquivos da vítima e instruções para entrar em contato com os emails bomboms123@mail.ru ou subsidiária: yourfood20@mail.ru para obter instruções de pagamento.

Figura 5 – Nota de Resgate Fonte: Bleeping Computer

Quando o ransomware terminou de criptografar um computador, ele enviará uma mensagem final para o servidor C2 com a string “finish”, um timestamp, a versão do Windows e a quantidade de arquivos criptografados.

Neste momento, atualmente não se sabe quanto de ransomware os desenvolvedores estão exigindo. Como afirmado anteriormente, a boa notícia é que este ransomware pode ser descriptografado usando este desencriptador.

Como se proteger do GIBON Ransomware

Para se proteger de GIBON, ou de qualquer ransomware, é importante que você use bons hábitos de computação e software de segurança. Em primeiro lugar, você sempre deve ter um backup confiável e testado de seus dados que podem ser restaurados no caso de uma emergência, como um ataque de ransomware.

Você também deve ter um software de segurança que contenha detecções comportamentais, como  Emsisoft Anti-Malware ,  Malwarebytes ou HitmanPro: Alert. 

Por último, mas não menos importante, certifique-se de praticar os seguintes bons hábitos de segurança online, que em muitos casos são os passos mais importantes de todos:

  • Backup, Backup, Backup!
  • Não abra anexos se não souber quem os enviou.
  • Não abra anexos até confirmar que a pessoa realmente o enviou,
  • Digitalize anexos com ferramentas como o VirusTotal.
  • Verifique se todas as atualizações do Windows estão instaladas assim que elas saem! Certifique-se também de atualizar todos os programas, especialmente Java, Flash e Adobe Reader. Os programas mais antigos contêm vulnerabilidades de segurança que são comumente exploradas por distribuidores de malware. Portanto, é importante mantê-los atualizados.
  • Certifique-se de usar algum tipo de software de segurança instalado.
  • Use senhas rígidas e nunca reutilize a mesma senha em vários sites.

Fonte: BLEEPINGCOMPUTER

Malspam

Perfil curto

Spam é o termo geral usado para especificar e-mails não solicitados. Malware Spam ou MalSpam é o termo usado para designar malware que é entregue por meio de mensagens de e-mail.

 

História

Embora a primeira instância de um malware que seja entregue por spam seja desconhecida, o vírus de mala direta Melissa de 1999 é reconhecido como o primeiro malware amplamente distribuído por e-mail. Melissa digitalizaria listas de contatos de e-mail e enviaria uma cópia de si mesmo para os primeiros 50 contatos dentro da lista. Embora Melissa não tenha destruído arquivos ou outros recursos, o vírus teve o potencial de desativar os servidores de correio corporativo e outros, consumindo recursos enquanto procurava contatos adicionais e enviando cópias do vírus para outros.

Os vírus Copy-Cat usando o email como o método de disseminação rapidamente surgiram logo após. Com cada vírus no momento de competir por taxas de infecção e manchetes da CNN, o e-mail rapidamente provou ser um método viável para entregar anexos maliciosos a usuários desavisados. O worm de envio de massa do ILOVEYOU que saiu em 2000 infectou dezenas de milhões de computadores em todo o mundo e causou bilhões de dólares em danos.

A partir desse ponto, o e-mail foi um vetor primário para a entrega de malwares e, infelizmente, há poucos sinais de que a tendência está a diminuir. O e-mail provou ser um vetor altamente valioso e altamente bem sucedido para a instalação de malware para usuários desavisados.

Métodos de ataques para o MalSpam podem ser definidos. Tudo de campanhas gerais do MalSpam, cobrindo milhões de endereços comprados de provedores de endereço de e-mail, para campanhas direcionadas altamente sofisticadas, cobrindo uma ou duas pessoas, são extremamente comuns.

A pesquisa da empresa Radicati indica que cerca de 205 bilhões de e-mails são enviados a cada dia . E de acordo com a ITU, cerca de 80% de todas as mensagens de e-mail são spam . Embora seja difícil identificar um número exato de e-mails que entregam o MalSpam, é claro que os autores de malwares continuam a ver suficientes instalações bem sucedidas de seus programas maliciosos para garantir a continuação de tais empreendimentos.

Método comum de infecção

O MalSpam, por definição, é malware entregue por e-mail e, como tal, este será sempre o vetor de infecção para malware com esta classificação.

Famílias associadas

Muitas famílias e tipos de malware foram entregues por email. Não há limite ou restrição aos tipos de malware que podem ser enviados por e-mail. Isso inclui:

  • Ransomware
  • Trojans / Bots
  • Info Stealers
  • Spyware / Click-Hijackers

Remediação

A remediação depende do tipo de software malicioso que foi recebido. Os usuários são aconselhados a verificar dentro do perfil específico do MalwareNet que melhor se adapte ao malware recebido para obter informações adicionais.

Consequências

As conseqüências de uma infecção originária do MalSpam dependerão do tipo de malware recebido. Os usuários são aconselhados a verificar dentro do perfil específico do MalwareNet que melhor se adapta ao malware em questão para obter informações adicionais.

Evasão

Nunca baixe ou visualize anexos de remetentes desconhecidos. Sempre trate anexos de remetentes conhecidos como possivelmente suspeitos, a menos que a informação tenha sido solicitada diretamente. Nunca execute arquivos executáveis. E mesmo que o documento aconselhe o contrário, não habilite Macros nos produtos do Office. Se houver uma dúvida, entre em contato com o remetente antes de abrir o anexo para solicitar mais informações. Digitalize anexos com um produto anti-malware respeitável, como o Malwarebytes Anti-Malware, ou escaneie o arquivo contra uma coleção de produtos em www.virustotal.com.

Fonte: Malwarebytes