Найти в Дзене
AM Live
4023 подписчика

Новый шифровальщик GwisinLocker атакует как Windows, так и Linux ESXi

45
2 мин
Новое семейство программ-вымогателей, получившее имя “GwisinLocker”, атакует организации сферы здравоохранения, а также промышленный сектор и фармацевтические компании. Вредонос может шифровать, как Windows, так и Linux, включая поддержку серверов VMware ESXi и виртуальных машин. Автором нового шифровальщика является киберпреступная группировка Gwisin (с корейского переводится как «призрак»). Эксперты не могут с уверенностью сказать, из какой страны эта группировка, однако нет никаких сомнений, что участники хорошо знают корейский язык. Более того, атаки совпадают с корейскими праздниками и проходят в ранние утренние часы по южнокорейскому времени. Впервые о Gwisin заговорили в прошлом месяце. Интересно, что Windows-версию шифровальщика разобрали специалисты Ahnlab, а образец вредоноса для Linux описывают в отчете исследователи из компании ReversingLabs. Когда GwisinLocker атакует Windows, цепочка заражения начинается с запуска инсталляционного файла MSI, которому требуются специал

Новое семейство программ-вымогателей, получившее имя “GwisinLocker”, атакует организации сферы здравоохранения, а также промышленный сектор и фармацевтические компании. Вредонос может шифровать, как Windows, так и Linux, включая поддержку серверов VMware ESXi и виртуальных машин.

Автором нового шифровальщика является киберпреступная группировка Gwisin (с корейского переводится как «призрак»). Эксперты не могут с уверенностью сказать, из какой страны эта группировка, однако нет никаких сомнений, что участники хорошо знают корейский язык.

Более того, атаки совпадают с корейскими праздниками и проходят в ранние утренние часы по южнокорейскому времени. Впервые о Gwisin заговорили в прошлом месяце.

Интересно, что Windows-версию шифровальщика разобрали специалисты Ahnlab, а образец вредоноса для Linux описывают в отчете исследователи из компании ReversingLabs.

Когда GwisinLocker атакует Windows, цепочка заражения начинается с запуска инсталляционного файла MSI, которому требуются специальные параметры командной строки для корректной загрузки встроенной DLL. Именно эта библиотека выступает в качестве шифровальщика.

Необходимость запуска с параметрами затрудняет анализ специалистам в области кибербезопасности. Для обхода детектирования антивирусом вредоносная DLL внедряется в системные процессы Windows.

Иногда конфигурация включает параметр, запускающий программу-вымогатель в безопасном режиме. В этом случае вредонос копирует себя в подпапку ProgramData, устанавливается как служба и перезагружается в безопасном режиме.

Linux-версия заточена под шифрование виртуальных машин VMware ESXi. Два параметра командной строки задают режимы шифрования:

  • -h, —help — отображает справку
  • -p, --vp — выдает список путей для шифрования (разделены запятой)
  • -m, --vm — завершает процессы виртуальной машины (если «1», то останавливаются службы, если «2» — процессы)
  • -s, --vs — время режима сна до шифрования (в секундах)
  • -z, --sf — пропускает шифрование ESXi-файлов
  • -d, --sd — самоуничтожение после завершения задачи
  • -y, --pd — записывает текст в конкретный файл
  • -t, --tb — входит в цикл, если время Unix равно четырём часам с начала эры Unix (Unix epoch).

Вымогатель также завершает несколько Linux-демонов, а затем активирует шифрование с симметричным ключом AES и SHA256-хешированием.

Интересно, что каждая атака кастомизирована, включая указание имени атакованной компании в записке с требованием выкупа, а также использование уникального расширение, которое добавляется к именам затронутых файлов.

#windows

#linux

#VMware

Кибербезопасность
25,6 тыс интересуются