В вашем сервере завелся «Призрак»

Новое семейство программ-вымогателей под названием GwisinLocker нацелено на южнокорейские медицинские, промышленные и фармацевтические компании с помощью шифраторов Windows и Linux, включая технологию шифрования серверов и виртуальных машин VMware ESXi. Новое вредоносное ПО разработал малоизвестный хакер по имени Gwisin, что в переводе с корейского означает «призрак».

Корейские эксперты по кибербезопасности из Ahnlab опубликовали отчет о шифровальщике Windows, а исследователи безопасности из ReversingLabs выпустили технический анализ версии для Linux.

При шифровании устройства Windows заражение начинается с выполнения установочного MSI-файла, который требует специальных аргументов командной строки для правильной загрузки встроенной DLL-библиотеки. DLL действует как шифровальщик программы-вымогателя. Требование аргументов командной строки усложняет анализ программы специалистами.

Когда предоставлены правильные аргументы командной строки, MSI расшифровывает и внедряет свою внутреннюю DLL-библиотеку (программу-вымогатель) в процесс Windows, чтобы избежать обнаружения антивирусным ПО. Иногда аргумент может установить программу для работы в безопасном режиме. В этом случае программа копируется в папку ProgramData и регистрируется как служба.

Для версии Linux GwisinLocker ориентирован на шифрование виртуальных машин VMware ESXi, включая 2 аргумента командной строки, которые управляют тем, как вредоносное ПО будет шифровать виртуальные машины. Аргументы также включают «–vm», который перечисляет виртуальные машины и останавливает их работу. Аргументы командной строки для шифровальщика Linux перечислены ниже:

Usage: Usage

-h, --help show this help message and exit (Показывает сообщение справки и завершает работу);

Options

-p, --vp= Comma-separated list of paths to encrypt (Разделенный запятыми список путей для шифрования);

-m, --vm= Kills VM processes if 1; Stops services and processes if 2 (Убивает процессы виртуальной машины, если 1; Останавливает службы и процессы, если 2);

-s, --vs= Seconds to sleep before execution (…секунд до сна перед выполнением);

-z, --sf= Skip encrypting ESXi-related files (those excluded in the configuration) (Пропустить шифрование файлов, связанных с ESXi (исключенных в конфигурации);

-d, --sd= Self-delete after completion (Самоудаление после завершения);

-y, --pd= Writes the specified text to a file of the same name (Записывает указанный текст в файл с тем же именем);

-t, --tb= Enters loop if Unix time is (Входит в цикл, если время Unix равно…)

А чтобы сервер Linux не стал непригодным для использования, GwisinLocker исключает из шифрования некоторые каталоги, в том числе «bin», «boot», «dev», «etc» и т.д.

Программа-вымогатель также исключает определенные файлы, связанные с VMware ESXi (state.tgz, useropts.gz, jumpstrt.gz и т. д.), чтобы сервер не загружался. По итогу GwisinLocker завершает работу нескольких демонов Linux перед запуском процесса шифрования, чтобы сделать их данные доступными для блокировки. Шифровальщик использует AES-шифрование с хешированием SHA256.

Все шифраторы включают название компании в записке с требованием выкупа и используют уникальное расширение для зашифрованных имен файлов. Для одной выявленной жертвы хакер в примечании о выкупе описал украденные файлы для доказательства компрометации. Записка с требованием выкупа называется «!!!_HOW_TO_UNLOCK_[company_name]_FILES_!!!.TXT» и предупреждает жертву не обращаться в правоохранительные органы Южной Кореи или KISA (Корейское агентство Интернета и безопасности).

Киберпреступник предложил жертве посетить onion-адрес с помощью браузера Tor, войти в систему с предоставленными хакером учетными данными и следовать инструкциям по оплате выкупа и восстановлению файлов.