近期，一個(gè)名為“GwisinLocker”的新勒索軟件系列針對(duì)具有Windows和Linux加密器的韓國(guó)醫(yī)療保健、工業(yè)和制藥公司發(fā)動(dòng)勒索攻擊，包括對(duì)加密VMware ESXi服務(wù)器和虛擬機(jī)。新的惡意軟件是一個(gè)鮮為人知的威脅行為者Gwisin的產(chǎn)物，在韓語(yǔ)中意為“幽靈”。該威脅行為者來(lái)歷不明，但似乎精通韓語(yǔ)。

此外，襲擊恰逢韓國(guó)公眾假期，并且發(fā)生在凌晨，這就表明Gwisin對(duì)該國(guó)的文化和商業(yè)慣例有很好的掌握。關(guān)于Gwisin及其活動(dòng)的報(bào)道于上個(gè)月底首次出現(xiàn)在韓國(guó)媒體上，當(dāng)時(shí)威脅者入侵了該國(guó)的大型制藥公司。

周三，Ahnlab的韓國(guó)網(wǎng)絡(luò)安全專家發(fā)布了一份關(guān)于Windows加密器的報(bào)告，當(dāng)GwisinLocker加密Windows設(shè)備時(shí)，感染始于MSI安裝程序文件的執(zhí)行，該文件需要特殊的命令行參數(shù)才能正確加載充當(dāng)勒索軟件加密器的嵌入式DLL。當(dāng)提供正確的命令行參數(shù)時(shí)，MSI將解密并將其內(nèi)部DLL（勒索軟件）注入Windows進(jìn)程以逃避檢測(cè)，這對(duì)于每個(gè)公司來(lái)說(shuō)都是不同的。配置有時(shí)包含一個(gè)參數(shù)，將勒索軟件設(shè)置為在安全模式下運(yùn)行。在這些情況下，它會(huì)將自身復(fù)制到 ProgramData子文件夾，注冊(cè)為服務(wù)，然后強(qiáng)制以安全模式重新啟動(dòng)。對(duì)于ReversingLabs 分析的 Linux 版本，加密器著重于加密 VMware ESXi 虛擬機(jī)，包括控制 Linux 加密器如何加密虛擬機(jī)的兩個(gè)命令行參數(shù)。

下面列出了 GwisinLocker Linxu 加密器的命令行參數(shù)：

這些參數(shù)包括--vm標(biāo)志，它將執(zhí)行以下命令來(lái)枚舉 ESXi 虛擬機(jī)并關(guān)閉它們。

為避免使 Linux 服務(wù)器無(wú)法使用，GwisinLocker 將從加密中排除以下目錄。

除非使用--sf命令行參數(shù)，否則 Linux 勒索軟件還將排除特定的 VMware ESXi 相關(guān)文件（state.tgz、useropts.gz、jumpstrt.gz 等），以防止服務(wù)器無(wú)法啟動(dòng)。

最后，勒索軟件會(huì)在啟動(dòng)加密之前終止幾個(gè) Linux 守護(hù)程序，以使它們的數(shù)據(jù)可用于鎖定過(guò)程。