网络安全公司ProofPoint的研究人员Matthew Mesa（马修·梅萨）发现一款新勒索软件“GIBON”通过恶意垃圾邮件（Malspam）感染目标。这款勒索软件自今年5月就已在暗网上架，售价500美元（约合人民币3319元）的价格出售。

攻击者将包含宏的恶意文件作为垃圾邮件附件，一旦启用宏，恶意文件便会在受害者的设备上下载并安装这款勒索软件。

Mesa之所以将这款软件命名为“GIBON”，正是因为有两处出现了“GIBON”。专家首先在这款恶意软件的User Agent字符串中注意到“GIBON”，其用来与命令与控制服务器（C&C Server）通信。

　　此外，管理面板（Admin Panel）也出现了“GIBON”字符串。

GIBON勒索软件初次执行时会连接到C&C服务器，并发送包含时间戳、Windows版本和“注册”字符串的base64编码字符串注册新的受害者。服务器的响应消息中同样包含一个采用base64编码的字符串，GIBON会将其用作赎金票据。这种设置允许GIBON的运营团队在运行中更新赎金，而不必编译新的可执行文件。

C&C服务器将会返回包含base64编码字符串的响应。 一旦被感染设备与C&C服务器注册，这台设备将在本地生成加密密钥，并将其作为base64编码字符串发送至这台C&C服务器。这款恶意软件将使用该密钥加密目标设备上的所有的文件，并在加密文件的名称附加.encrypt扩展名。

网络安全编辑Lawrence Abrams（劳伦斯·艾布拉姆斯）表示，由于受害者已被注册，密钥也已传输至C&C服务器，这款恶意软件将开始加密目标设备。GIBON加密的同时还会将目标瞄向非Windows文件夹内的所有文件。GIBON在加密过程中定期连接到C&C服务器，攻击者会继续对服务器执行ping操作，以确认加密是否仍在进行中。

这款恶意软件会在包含加密文件的每个文件中释放勒索信息，此外还会生成名为“READ_ME_NOW.txt”的勒索信息，其内容如下：

一旦完成文件加密，GIBON将会向C&C服务器发送“Finish”字符串、时间戳、Windows版本和加密的文件数量。所幸的是，这款恶意软件加密的文件可通过GibonDecrypter（获取地址：请戳！）解密。