GIBON: nuovo ransomware distribuito via email di spam [risolvibile]

E' notizia di questi ultimi giorni, la scoperta di un nuovo ransomware a scopo di lucro fraudolento, chiamato GIBON. Questo ransomware si distribuisce tramite email di spam con un documento dannoso in allegato: questo documento contiene una macro che è responsabile del download  e dell'installazione del ransomware  sul computer.

Perchè è chiamato GIBON?

Esistono diversi modi per denominare un ransomware quando questo viene scoperto. A volte sono  i ricercatori che, per denominarlo, utilizzano  le stringhe trovate negli eseguibili. Altre volte è invece il malware stesso a  dare le  indicazioni su come andrà  chiamato. Nel caso in questione, il virus è denominato GIBON per  due ragioni : la prima  è la   stringa  ''user agent Gibon'' che è utilizzata quando il virus comunica con il server di comando e controllo.

Fonte: Bleeping Computer

La seconda è il   nome  indicato  nel pannello Admin dal ransomware stesso. Esso riferisce di sé  come  "Macchina di crittografia GIBON". 

Attualmente non abbiamo molte informazioni su come si diffonde, quindi procediamo ad analisi tecnica secondo i dati riscontrabili da fonti certe nel web.

Come GIBON cripta il computer :

Quando viene avviato, Gibon si connette al server di comando e controllo e registra la nuova vittima, inviando una stringa codificata base64 che contiene la cronologia, la versione di Windows e la stringa di "registro". La presenza di quest'ultima indicherà al server C&C che si tratta di una vittima infettata per la prima volta. Il server C&Cspam invierà una risposta che contiene una stringa codificata ''base64'' che verrà utilizzata da GIBON come nota di riscatto. Potendo contare sul supporto del server C&C per "recapitare" la nota di riscatto, lo sviluppatore del ransomware non ha bisogno di compilare di nuovo l'eseguibile qualora dovesse modificare la nota. Infatti, non essendo la nota "hard coded", la modifica non necessita cambiamenti nell'eseguibile. 

La risposta del server C&C con la nota di riscatto criptata

Una volta che una vittima è registrata con nel server C&C, il ransomware genererà localmente una chiave di crittografia e la invierà al server stesso come stringa codificata base64. Questa chiave sarà  utilizzata per criptare tutti i file del computer fino alla cartella di Windows. Come nella prima richiesta, il server C&C risponderà con la nota di riscatto. 

Fatti questi passaggi il ransomware inizia la criptazione di tutti i file presenti sulla macchina, a parte quelli contenuti nella cartella Windows. 

Il ransomware modifica i file criptandoli e aggiungendovi  l'estensione .encrypt. Ad esempio, un file chiamato test.jpg verrebbe  ciprtato e denominato test.jpg.encrypt. 
Qui sotto  un esempio di una  cartella con file criptati. 

Fonte: BleepingComputer

In tutte le cartelle con un file criptato viene generata anche una nota di riscatto denominata READ_ME_NOW.txt. Questa nota di riscatto fornirà informazioni  alla vittima su quanto successo ai propri file e le  email da contattare per le istruzioni di pagamento. (bomboms123@mail.ru o yourfood20@mail.ru).

La nota di riscatto. Fonte: Bleeping Computer

Terminata la criptazione, il ransomware invierà un messaggio finale al server C2 con la stringa "finish", un timestamp, la versione di Windows e la quantità di file che sono stati criptati.

Indicatori di compromissione: 1. Mail di contatto:
bomboms123@mail.ru o yourfood20@mail.ru
2. Nota di riscatto:
READ_ME_NOW.txt.

Il tool di decriptazione
Gli esperti di Bleeping Computer hanno già approntato un tool per la decriptazione dei file. Il tool è GRATUITO: non pagare il riscatto dei criminali!

Il tool è disponibile al download qui.