پیدایش یک باج‌افزار جدید با نام GIBON

GIBON

پیدایش یک باج‌افزار جدید با نام GIBON

واضح است که در عصر اینترنت و پیشرفت های بسیار در این حوزه،سبب شده که بسیاری از هکر ها از این فرصت سوء استفاده نموده و دست به اقدامات شوم خود بزنند.یاد آور شدن این نکته نیز الزامی است که؛سیستم کامپیوتری،ویندوز و .. همواره در خطر حمله باج افزار های جدید می باشند.به تازگی یک خانواده‌ی باج‌افزار جدید به نام GIBON کشف شده است که تمام پرونده‌هایی که روی یک ماشینِ قربانی قرار دارند به جز پرونده‌های موجود در پوشه‌ی ویندوز را هدف قرار می‌دهند.

شایان ذکر است که؛وقتی باج‌افزار GIBON دستگاهی را آلوده می‌کند، به کارگزار دستور و کنترل خود متصل می‌شود و با ارسال یک رشته‌ی رمزنگاری‌شده‌ی base۶۴ که حاوی برچسب زمانی، نسخه‌ی ویندوز، و رشته‌ی ثبت بوده و به کارگزار دستور و کنترل می‌گوید که این یک قربانی جدید است، و به این ترتیب قربانی جدید را ثبت می‌کند.

پاسخ کارگزار شامل یک رشته‌ی رمزنگاری‌شده‌ی base۶۴ است که این باج‌افزار از آن به عنوان یادداشت باج‌خواهی استفاده می‌کند. طبق گفته های پژوهش‌گر امنیتی به نام لورانس آبرامز ، این نحوه‌ی قرارگیری در سامانه‌ی قربانی به نویسنده‌ی بدافزار اجازه می‌دهد که در هر حالتی یادداشت باج‌خواهی خود را تغییر دهد بدون این‌که مجبور باشد یک پرونده‌ی قابل‌اجرای دیگر را کامپایل کند.حملاتی که این باج‌افزار را به کار گرفته بودند، در مواردی از هرزنامه‌های مخرب برای توزیع آن استفاده کرده بودند.

 

 

GIBON

وقتی قربانی ثبت شد، باج‌افزار یک کلید رمزنگاری محلی تولید می‌کند و سپس آن‌را به عنوان یک رشته‌ی رمزنگاری‌شده base۶۴ به کارگزار دستور و کنترل ارسال می‌کند. این کلید برای رمزنگای تمام پرونده‌های موجود در سامانه استفاده می‌شود و پسوند encrypt به نام تمام پرونده‌های رمزنگاری‌شده اضافه می‌شود.این باج‌افزار در طول فرآیند رمزنگاری پرونده‌ها به پینگ کردن کارگزار ادامه می‌دهد تا به آن اطلاع دهد که عملیات هنوز در حال انجام است. وقتی فرآیند رمزنگاری تکمیل شد، این باج‌افزار یک پیام پایانی به کارگزار ارسال می‌کند که حاوی رشته‌ی «پایان»، یک برچسب زمانی، نسخه‌ی ویندوز، و تعداد پرونده‌های رمزنگاری‌شده است.

باج‌افزار GIBON در هر پوشه‌ای که پرونده‌های موجود در آن رمزنگاری شده‌اند، یک یادداشت باج‌خواهی قرار می‌دهد، و به وسیله‌ی آن اطلاعاتی درباره‌ی آن‌چه که اتفاق افتاده به کاربران ارائه می‌کند و آن‌ها را راهنمایی می‌کند که چگونه از طریق رایانامه‌هایbomboms۱۲۳@mail.ru و yourfood۲۰@mail.ru با نویسنده‌ی بدافزار ارتباط برقرار کنند تا بتوانند دستورالعمل‌های پرداخت باج را دریافت کنند.وقتی محققان اعلان‌های مربوط به این بدافزار را بررسی کردند، متوجه شدند که نویسنده دروغ می‌گوید که از یک کلید RSA ۲۰۴۸ بیتی برای رمزنگاری استفاده کرده است. در حقیقت، یک روش رمزنگاری اضافی مورد استفاده قرار گرفته، و سپس این باج‌افزار کلید این روش اضافی را با یک کلید RSA ۲۰۴۸ بیتی رمزنگاری کرده است.

منبع

مطالب مرتبط

نظر خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *