一个名为“GwisinLocker”的新勒索软件系列针对具有 Windows 和 Linux 加密器的韩国医疗保健、工业和制药公司,包括对加密 VMware ESXi 服务器和虚拟机的支持。
新的恶意软件是一个鲜为人知的威胁演员 Gwisin 的产物,在韩语中意为“幽灵”。该演员来历不明,但似乎精通韩语。
此外,袭击恰逢韩国公众假期,并且发生在凌晨,因此 Gwisin 对该国的文化和商业惯例有很好的掌握。
关于 Gwisin 及其活动的报道于上个月底首次出现在韩国媒体 上,当时威胁者入侵了该国的大型制药公司。
周三, Ahnlab的韩国网络安全专家 发布了一份关于 Windows 加密器的报告,昨天, ReversingLabs的安全研究人员 发布了他们对 Linux 版本的技术分析。
针对 Windows 和 Linux 服务器
当 GwisinLocker 加密 Windows 设备时,感染始于 MSI 安装程序文件的执行,该文件需要特殊的命令行参数才能正确加载充当勒索软件加密器的嵌入式 DLL。
需要命令行参数使安全研究人员更难分析勒索软件。
当提供正确的命令行参数时,MSI 将解密并将其内部 DLL(勒索软件)注入 Windows 进程以逃避 AV 检测,这对于每个公司来说都是不同的。
配置有时包含一个参数,将勒索软件设置为在安全模式下运行。在这些情况下,它会将自身复制到 ProgramData 子文件夹,注册为服务,然后强制以安全模式重新启动。
对于 ReversingLabs 分析的 Linux 版本,加密器着重于加密 VMware ESXi 虚拟机,包括控制 Linux 加密器如何加密虚拟机的两个命令行参数。
下面列出了 GwisinLocker Linxu 加密器的命令行参数:
Usage: Usage
-h, –help show this help message and exit
Options
-p, –vp= Comma-separated list of paths to encrypt
-m, –vm= Kills VM processes if 1; Stops services and processes if 2
-s, –vs= Seconds to sleep before execution
-z, –sf= Skip encrypting ESXi-related files (those excluded in the configuration)
-d, –sd= Self-delete after completion
-y, –pd= Writes the specified text to a file of the same name
-t, –tb= Enters loop if Unix time is
这些参数包括–vm标志,它将执行以下命令来枚举 ESXi 虚拟机并关闭它们。
esxcli –formatter=csv –format-param=fields==”DisplayName,WorldID” vm process list
esxcli vm process kill –type=force –world-id=”[ESXi] Shutting down – %s”
为避免使 Linux 服务器无法使用,GwisinLocker 将从加密中排除以下目录。
从加密中排除的进程
从加密中排除的进程 (ReversingLabs)
除非使用–sf命令行参数,否则 Linux 勒索软件还将排除特定的 VMware ESXi 相关文件(state.tgz、useropts.gz、jumpstrt.gz 等),以防止服务器无法启动。
最后,勒索软件会在启动加密之前终止几个 Linux 守护程序,以使它们的数据可用于锁定过程。
加密前终止的服务
加密前终止的服务 (ReversingLabs)
加密文件时,加密器使用带有 SHA256 散列的 AES 对称密钥加密。
为每个受害者定制
无论攻击的目标是什么操作系统,所有加密器都经过定制,以在勒索信中包含公司名称,并为加密文件名使用唯一的扩展名。
对于ZZQIDC 已知的一名受害者,威胁参与者大量定制了赎金记录,以包括在攻击期间被盗的特定数据,我们在下面的注释中进行了编辑。
赎金票据名为“!!!_HOW_TO_UNLOCK_[company_name]_FILES_!!!.TXT”,并用英文书写,其中一些警告受害者不要联系韩国执法机构或 KISA(韩国互联网和安全局)。
GwisinLocker 赎金记录示例
来源:ZZQIDC
相反,受害者被告知使用 Tor 浏览器访问洋葱地址,使用提供的凭据登录,然后按照支付赎金和恢复文件的说明进行操作。
虽然 AhnLab’s 和 ReversingLabs 指出 GwisinLocker 主要针对韩国工业和制药公司,但 ZZQIDC 知道一家医疗诊所也被针对。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 新的GwisinLocker勒索软件加密Windows和Linux ESXi 服务器
