Découverte du rançongiciel GIBON

Un nouveau malware a été découvert par des chercheurs de ProofPoint. Ce logiciel malveillant, qui a pour nom GIBON, est actuellement distribué via des courriers indésirables (spams) contenant des pièces jointes qui déclenchent le téléchargement et l’installation du malware.

Une fois installé, GIBON se connecte à un serveur de commande et de contrôle (C&C) et enregistre la victime auprès de celui-ci en envoyant une chaîne de caractères encodée en base64 contenant, entre autres, un horodatage et la version de la machine Windows.

Après l’enregistrement de la machine victime, le malware génère localement une clé de chiffrement et la transmet au serveur de contrôle. La clé est ensuite utilisée pour chiffrer l’ensemble des fichiers de la victime en y ajoutant l’extension .encrypt. Lorsque l’ensemble des fichiers est chiffré, le serveur reçoit une autre chaîne de caractères contenant le mot « finish »  accompagné d’un timestamp et de la version de Windows ainsi que du nombre de fichiers chiffrés.

GIBON crée ensuite une note, à l’intérieur de chaque dossier contenant des fichiers chiffrés, qui explique que les données ne sont plus accessibles et qui indique les instructions de paiement pour pouvoir récupérer les données.