Новое семейство программ-вымогателей, получившее имя “GwisinLocker”, атакует организации сферы здравоохранения, а также промышленный сектор и фармацевтические компании. Вредонос может шифровать, как Windows, так и Linux, включая поддержку серверов VMware ESXi и виртуальных машин.
Автором нового шифровальщика является киберпреступная группировка Gwisin (с корейского переводится как «призрак»). Эксперты не могут с уверенностью сказать, из какой страны эта группировка, однако нет никаких сомнений, что участники хорошо знают корейский язык.
Более того, атаки совпадают с корейскими праздниками и проходят в ранние утренние часы по южнокорейскому времени. Впервые о Gwisin заговорили в прошлом месяце.
Интересно, что Windows-версию шифровальщика разобрали специалисты Ahnlab, а образец вредоноса для Linux описывают в отчете исследователи из компании ReversingLabs.
Когда GwisinLocker атакует Windows, цепочка заражения начинается с запуска инсталляционного файла MSI, которому требуются специальные параметры командной строки для корректной загрузки встроенной DLL. Именно эта библиотека выступает в качестве шифровальщика.
Необходимость запуска с параметрами затрудняет анализ специалистам в области кибербезопасности. Для обхода детектирования антивирусом вредоносная DLL внедряется в системные процессы Windows.
Иногда конфигурация включает параметр, запускающий программу-вымогатель в безопасном режиме. В этом случае вредонос копирует себя в подпапку ProgramData, устанавливается как служба и перезагружается в безопасном режиме.
Linux-версия заточена под шифрование виртуальных машин VMware ESXi. Два параметра командной строки задают режимы шифрования:
- -h, —help — отображает справку
- -p, --vp — выдает список путей для шифрования (разделены запятой)
- -m, --vm — завершает процессы виртуальной машины (если «1», то останавливаются службы, если «2» — процессы)
- -s, --vs — время режима сна до шифрования (в секундах)
- -z, --sf — пропускает шифрование ESXi-файлов
- -d, --sd — самоуничтожение после завершения задачи
- -y, --pd — записывает текст в конкретный файл
- -t, --tb — входит в цикл, если время Unix равно четырём часам с начала эры Unix (Unix epoch).
Вымогатель также завершает несколько Linux-демонов, а затем активирует шифрование с симметричным ключом AES и SHA256-хешированием.
Интересно, что каждая атака кастомизирована, включая указание имени атакованной компании в записке с требованием выкупа, а также использование уникального расширение, которое добавляется к именам затронутых файлов.
