Matthew Mesa, un ricercatore di proofpoint, ha scoperto un ransomware Gibon venduto su un mercato Darknet per $ 500. Ci sono un certo numero di forum su Darknet in cui vengono pubblicizzati e discussi diversi prodotti e servizi. Matthew Mesa, nel suo compito di ricerca, si imbatté in un forum russo in cui il ransomware di Gibon veniva pubblicizzato. Il forum russo Darknet è noto per fornire diverse forme di ransomware, proprio come una nuova forma di Ceber Ransomware è stata offerta l’anno scorso.
Il ransomware Gibon ha la capacità di infettare tutti i dati su una macchina tranne i file nelle cartelle della finestra. Sebbene sia stato scoperto di recente sul Darknet, le indagini dicono che questo ransomware pericoloso è stato sul Darknet da maggio 2017. Una volta che Gibon entra in una macchina, crittografa i dati memorizzati e si assicura che l’estensione “.encrypt” ad ogni nome di file venga aggiunta. Il ransomware contiene una stringa codificata in base64.
Nell’annuncio come scoperto da Matthew Mesa, si legge: “Dopo il completamento, viene inviato un report al numero di file e su quali dischi vengono crittografati. Il programma non aumenta i privilegi nel sistema, quindi funziona solo con i file per i quali l’utente ha i diritti appropriati. “
Secondo un’altra sezione dell’annuncio, il ransomware ha anche la possibilità di utilizzare la crittografia ricorsiva, lasciare i file README.txt nei messaggi agli utenti, le chiavi di crittografia inviate a un pannello di amministrazione e creare chiavi di decrittografia e crittografia.
Dopo che il ransomware ha infettato una macchina, informa continuamente le vittime nel processo di crittografia sull’operazione in corso. Una volta completata la crittografia, invia un messaggio al server: “finish”, un timestamp, la versione di Windows e il numero di file crittografati. “
Il Gibon contiene un file di testo che offre alla vittima una sorta di opzione, chiedendo loro di contattare l’email dello sviluppatore Gibon. È chiaro che le vittime saranno persuase a pagare un certo importo prima che i loro dati vengano recuperati. Se gli hacker si impegneranno davvero con la loro promessa di rilasciare i dati tenuti in ostaggio o no, nessuno lo sa. Le statistiche dicono che il 40% dei consumatori paga le tasse sui ransomware.
Sono stati segnalati casi in cui gli hacker si rifiutano di rilasciare dati compromessi anche dopo che il riscatto è stato pagato. Gli esperti consigliano alle vittime di ignorare gli hacker invece di sprecare gli sforzi e spendere soldi per ripristinare i propri dati, cosa che normalmente non accade