GwisinLocker вымогательское ПО Южная Корея AhnLab ReversingLabs
Новое семейство программ-вымогателей хитрым способом шифрует все данные на серверах Windows и Linux.
Новое семейство программ-вымогателей под названием GwisinLocker нацелено на южнокорейские медицинские, промышленные и фармацевтические компании с помощью шифраторов Windows и Linux, включая технологию шифрования серверов и виртуальных машин VMware ESXi. Новое вредоносное ПО разработал малоизвестный хакер по имени Gwisin, что в переводе с корейского означает «призрак».
Корейские эксперты по кибербезопасности из Ahnlab опубликовали отчет о шифровальщике Windows, а исследователи безопасности из ReversingLabs выпустили технический анализ версии для Linux.
При шифровании устройства Windows заражение начинается с выполнения установочного MSI-файла, который требует специальных аргументов командной строки для правильной загрузки встроенной DLL-библиотеки. DLL действует как шифровальщик программы-вымогателя. Требование аргументов командной строки усложняет анализ программы специалистами.
Когда предоставлены правильные аргументы командной строки, MSI расшифровывает и внедряет свою внутреннюю DLL-библиотеку (программу-вымогатель) в процесс Windows, чтобы избежать обнаружения антивирусным ПО. Иногда аргумент может установить программу для работы в безопасном режиме. В этом случае программа копируется в папку ProgramData и регистрируется как служба.
Для версии Linux GwisinLocker ориентирован на шифрование виртуальных машин VMware ESXi, включая 2 аргумента командной строки, которые управляют тем, как вредоносное ПО будет шифровать виртуальные машины. Аргументы также включают «–vm», который перечисляет виртуальные машины и останавливает их работу. Аргументы командной строки для шифровальщика Linux перечислены ниже:
Usage: Usage
-h, —help show this help message and exit (Показывает сообщение справки и завершает работу);
Options
-p, —vp= Comma-separated list of paths to encrypt (Разделенный запятыми список путей для шифрования);
-m, —vm= Kills VM processes if 1; Stops services and processes if 2 (Убивает процессы виртуальной машины, если 1; Останавливает службы и процессы, если 2);
-s, —vs= Seconds to sleep before execution (…секунд до сна перед выполнением);
-z, —sf= Skip encrypting ESXi-related files (those excluded in the configuration) (Пропустить шифрование файлов, связанных с ESXi (исключенных в конфигурации);
-d, —sd= Self-delete after completion (Самоудаление после завершения);
-y, —pd= Writes the specified text to a file of the same name (Записывает указанный текст в файл с тем же именем);
-t, —tb= Enters loop if Unix time is (Входит в цикл, если время Unix равно…)
А чтобы сервер Linux не стал непригодным для использования, GwisinLocker исключает из шифрования некоторые каталоги, в том числе «bin», «boot», «dev», «etc» и т.д.
Программа-вымогатель также исключает определенные файлы, связанные с VMware ESXi (state.tgz, useropts.gz, jumpstrt.gz и т. д.), чтобы сервер не загружался. По итогу GwisinLocker завершает работу нескольких демонов Linux перед запуском процесса шифрования, чтобы сделать их данные доступными для блокировки. Шифровальщик использует AES-шифрование с хешированием SHA256.
Все шифраторы включают название компании в записке с требованием выкупа и используют уникальное расширение для зашифрованных имен файлов. Для одной выявленной жертвы хакер в примечании о выкупе описал украденные файлы для доказательства компрометации. Записка с требованием выкупа называется «!!!_HOW_TO_UNLOCK_[company_name]_FILES_!!!.TXT» и предупреждает жертву не обращаться в правоохранительные органы Южной Кореи или KISA (Корейское агентство Интернета и безопасности).
Киберпреступник предложил жертве посетить onion-адрес с помощью браузера Tor, войти в систему с предоставленными хакером учетными данными и следовать инструкциям по оплате выкупа и восстановлению файлов.