最近,一个名为“GwisinLocker”的新勒索软件家族使用Windows和Linux加密器对韩国医疗保健、工业和制药公司发起勒索软件攻击,包括用于加密的VMwareESXi服务器和虚拟机.新的恶意软件是一个鲜为人知的威胁参与者Gwisin的产品,在韩语中意为“幽灵”。威胁演员来历不明,但似乎能说流利的韩语。此外,这次袭击恰逢韩国公共假期,并且发生在凌晨,这表明Gwisin非常了解该国的文化和商业惯例。关于Gwisin及其活动的报道于上月底首次出现在韩国媒体上,当时该威胁行为者入侵了该国的大型制药公司。周三,Ahnlab的韩国网络安全专家发布了一份关于WindowsEncryptor的报告。当GwisinLocker加密Windows设备时,感染从执行MSI安装程序文件开始,该文件需要特殊的命令行参数才能正确加载以充当勒索软件。加密器的嵌入式DLL。当给出正确的命令行参数时,MSI将解密并将其内部DLL(勒索软件)注入Windows进程以逃避检测,这因每个公司而异。配置有时包含一个参数,用于将勒索软件设置为在安全模式下运行。在这些情况下,它会将自身复制到ProgramData子文件夹,将其注册为服务,然后在安全模式下强制重启。对于ReversingLabs分析的Linux版本,Encryptor专注于加密VMwareESXi虚拟机,包括两个控制LinuxEncryptor加密虚拟机方式的命令行参数。下面列出了GwisinLockerLinxu加密器的命令行参数:这些参数包括--vm标志,它将执行以下命令来枚举ESXi虚拟机并关闭它们。为避免导致Linux服务器无法使用,GwisinLocker将从加密中排除以下目录。除非使用--sf命令行参数,否则Linux勒索软件还会排除特定的VMwareESXi相关文件(state.tgz、useropts.gz、jumpstrt.gz等),以防止服务器无法启动。最后,勒索软件会在启动加密之前终止多个Linux守护进程,以使它们的数据可用于锁定过程。
