针对Windows和Linux ESXi服务器,GwisinLocker勒索软件发起勒索攻击
近期,一个名为“GwisinLocker”的新勒索软件系列针对具有Windows和Linux加密器的韩国医疗保健、工业和制药公司发动勒索攻击,包括对加密VMware ESXi服务器和虚拟机。新的恶意软件是一个鲜为人知的威胁行为者Gwisin的产物,在韩语中意为“幽灵”。该威胁行为者来历不明,但似乎精通韩语。
此外,袭击恰逢韩国公众假期,并且发生在凌晨,这就表明Gwisin对该国的文化和商业惯例有很好的掌握。关于Gwisin及其活动的报道于上个月底首次出现在韩国媒体上,当时威胁者入侵了该国的大型制药公司。
周三,Ahnlab的韩国网络安全专家发布了一份关于Windows加密器的报告,当GwisinLocker加密Windows设备时,感染始于MSI安装程序文件的执行,该文件需要特殊的命令行参数才能正确加载充当勒索软件加密器的嵌入式DLL。当提供正确的命令行参数时,MSI将解密并将其内部DLL(勒索软件)注入Windows进程以逃避检测,这对于每个公司来说都是不同的。配置有时包含一个参数,将勒索软件设置为在安全模式下运行。在这些情况下,它会将自身复制到 ProgramData子文件夹,注册为服务,然后强制以安全模式重新启动。对于ReversingLabs 分析的 Linux 版本,加密器着重于加密 VMware ESXi 虚拟机,包括控制 Linux 加密器如何加密虚拟机的两个命令行参数。
下面列出了 GwisinLocker Linxu 加密器的命令行参数:
这些参数包括--vm标志,它将执行以下命令来枚举 ESXi 虚拟机并关闭它们。
为避免使 Linux 服务器无法使用,GwisinLocker 将从加密中排除以下目录。
除非使用--sf命令行参数,否则 Linux 勒索软件还将排除特定的 VMware ESXi 相关文件(state.tgz、useropts.gz、jumpstrt.gz 等),以防止服务器无法启动。
最后,勒索软件会在启动加密之前终止几个 Linux 守护程序,以使它们的数据可用于锁定过程。
参考来源:http://www.bleepingcomputer.com/news/security/new-gwisinlocker-ransomware-encrypts-windows-and-linux-esxi-servers/
- 鼠标悬停也能中招!带毒PPT正用来传播Graphite恶意软件
- 澳大利亚史上最大数据泄露事件,40%的居民信息被泄露
- “匿名者”组织声称黑进了俄罗斯国防部网站
- 为防钓鱼,Win11新版本在记事本、网站中输入密码时会发出警告
- Tomcat架构之为Bypass内存马检测铺路(内存马系列篇四)
- “羊了个羊”遭黑客攻击,还存在安全隐患?
- 研究人员披露了 Oracle 云基础设施中的严重漏洞,现已修复
- Python 15年未修的漏洞可能影响 35万余个项目,速查
- JAVA代码审计之java反序列化
- 开源代码库攻击在三年间暴涨7倍
- 五分之二美国消费者数据被盗,企业也难逃攻击者“毒手”
- 入门学习之社会工程学
- 深陷安全事件泥潭,优步数据泄露何时休?
- 信阳师范学院曝“学信网信息泄露”,学院:已报警,涉事学生干部被撤职
- 无间道! "沙虫 "组织冒充乌克兰电信公司投放恶意软件
- 绕过检测之Executor内存马浅析(内存马系列篇五)
- 攻击者正冒充美国政府机构骗取承包商Office账户
- “泄露”的咖啡!黑客出售近22万名新加坡星巴克顾客数据
- 手搓Filter内存马从构造到利用讲解(内存马系列篇一)
- 深入底层源码的Listener内存马(内存马系列篇三)