行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
针对Windows和Linux ESXi服务器,GwisinLocker勒索软件发起勒索攻击
2022-08-09 13:57:45 【

    近期,一个名为“GwisinLocker”的新勒索软件系列针对具有Windows和Linux加密器的韩国医疗保健、工业和制药公司发动勒索攻击,包括对加密VMware ESXi服务器和虚拟机。新的恶意软件是一个鲜为人知的威胁行为者Gwisin的产物,在韩语中意为“幽灵”。该威胁行为者来历不明,但似乎精通韩语。

    

    此外,袭击恰逢韩国公众假期,并且发生在凌晨,这就表明Gwisin对该国的文化和商业惯例有很好的掌握。关于Gwisin及其活动的报道于上个月底首次出现在韩国媒体上,当时威胁者入侵了该国的大型制药公司。

    周三,Ahnlab的韩国网络安全专家发布了一份关于Windows加密器的报告,当GwisinLocker加密Windows设备时,感染始于MSI安装程序文件的执行,该文件需要特殊的命令行参数才能正确加载充当勒索软件加密器的嵌入式DLL。当提供正确的命令行参数时,MSI将解密并将其内部DLL(勒索软件)注入Windows进程以逃避检测,这对于每个公司来说都是不同的。配置有时包含一个参数,将勒索软件设置为在安全模式下运行。在这些情况下,它会将自身复制到 ProgramData子文件夹,注册为服务,然后强制以安全模式重新启动。对于ReversingLabs 分析的 Linux 版本,加密器着重于加密 VMware ESXi 虚拟机,包括控制 Linux 加密器如何加密虚拟机的两个命令行参数。

    下面列出了 GwisinLocker Linxu 加密器的命令行参数:

    

    这些参数包括--vm标志,它将执行以下命令来枚举 ESXi 虚拟机并关闭它们。

    为避免使 Linux 服务器无法使用,GwisinLocker 将从加密中排除以下目录。

    除非使用--sf命令行参数,否则 Linux 勒索软件还将排除特定的 VMware ESXi 相关文件(state.tgz、useropts.gz、jumpstrt.gz 等),以防止服务器无法启动。

    最后,勒索软件会在启动加密之前终止几个 Linux 守护程序,以使它们的数据可用于锁定过程。

    

】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇DDoS战术有变 从大流量变小流量 下一篇如何最大限度地减少企业受到供应..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800