上周，有安全專家發(fā)現(xiàn)了一款新的 GIBON 勒索軟件。但實(shí)際上，今年 5 月份地下黑市中就已經(jīng)出現(xiàn)了這款勒索軟件的身影。一名網(wǎng)名為 AUS_8 的用戶在多個(gè)網(wǎng)站出售這款勒索軟件，價(jià)格為500美元。廣告語(yǔ)用俄語(yǔ)撰寫(xiě)，詳細(xì)描述了這款軟件的特點(diǎn)和功能。

據(jù)研究人員觀察，GIBON 主要利用垃圾郵件傳播，但確切的傳播機(jī)制尚不清楚，主要攻擊被感染計(jì)算機(jī)中除 Windows 文件夾以外的文件。感染計(jì)算機(jī)后，GIBON 會(huì)連接到其 C＆C 服務(wù)器，并發(fā)送包含時(shí)間戳、Windows 版本和“注冊(cè)”字符串（用于告知 C＆C 新的受害者）的 base64 編碼字符串去感染下一個(gè)受害者。隨后，服務(wù)器會(huì)返回一個(gè) base64 編碼的字符串，作為 GIBON 的勒索通知。利用這種設(shè)置，攻擊者可以即時(shí)更新贖金，而不必編譯新的可執(zhí)行文件。

一旦受害者注冊(cè)到 C&C 服務(wù)器中，GIBON 就會(huì)在本地生成一個(gè)加密密鑰，然后以 base64 編碼的字符串形式將其發(fā)送到 C＆C 服務(wù)器。該密鑰用于加密計(jì)算機(jī)上的所有文件，并為所有加密文件附加上 .encrypt 擴(kuò)展名。在加密過(guò)程中，GIBON 會(huì)繼續(xù)對(duì)服務(wù)器執(zhí)行 ping 操作，表示加密正在進(jìn)行。加密完成后，則會(huì)向服務(wù)器發(fā)送最終消息，包含字符串“完成”、時(shí)間戳、Windows 版本以及加密的文件數(shù)量。

最后，GIBON 會(huì)在每個(gè)已加密文件的文件夾中加入贖金通知，要求受害者通過(guò)電子郵件 bomboms123@mail.ru 或子公司 yourfood20@mail.ru 聯(lián)系攻擊者以獲取付款說(shuō)明。

在分析 GIBON 的廣告時(shí)，研究人員發(fā)現(xiàn)，香港站群服務(wù)器 美國(guó)服務(wù)器，GIBON 作者聲稱使用 RSA-2048 密鑰進(jìn)行加密，但這并不正確。事實(shí)上，GIBON 是先添加一個(gè)密碼，然后用 RSA-2048 密鑰加密這個(gè)密碼。此外，該作者還聲稱，使用 GIBON 加密的文件無(wú)法解密；但安全專家已經(jīng)發(fā)布了解密器，因此，鄭州電信服務(wù)器 服務(wù)器托管，GIBON 的威脅并不可怕。