GwisinLocker は、韓国の工業および製薬会社を標的とする新しいランサムウェア ファミリです。. Windows システムと Linux システムの両方を侵害可能, GwisinLocker は、比較的未知の攻撃者によってコード化されています, ギシンと呼ばれる (韓国語で幽霊や精霊の意味).
ReversingLabs のセキュリティ研究者が Linux バージョンの分析を提供, 一方、AhnLab は Windows バージョンを分析しました。. これまでに GwisinLocker について研究者が発見したこと?
Linux と Windows の両方を標的とする GwisinLocker ランサムウェア
Windows ターゲットの場合, ランサムウェアは、埋め込まれた DLL をロードするために特定のコマンドライン引数を必要とする MSI インストーラー ファイルを実行することによって進行します。. DLL は実際にはランサムウェアの暗号化コンポーネントです. コマンドライン引数は、サイバーセキュリティ研究者の分析を困難にするため、展開される可能性が最も高い.
Linux を対象とする場合, ランサムウェアは主に、脅威が VM を暗号化する方法を制御する 2 つのコマンドライン引数を使用して、VMware ESXi 仮想マシンを標的にします。. GwisinLocker が実行する攻撃に共通する要素は、身代金メモが 2 つの方法でカスタマイズされていることです。 – 標的の企業名を含め、各感染に一意の拡張子を追加する.
身代金メモはダビングされていることに注意してください !!!_解除方法_[会社名]_ファイル_!!!.TXT, 英語で書かれています, 韓国の法執行機関または KISA に連絡しないようにという警告が含まれています。 (韓国インターネット振興院).
ルナランサムウェア は、Windows を標的とするようにコード化されたクロスプラットフォーム ランサムウェアの脅威の別の例です。, Linux, およびESXiシステム.
KasperskyのDarknet脅威インテリジェンス監視システムによって発見されました, ランサムウェアは、ダークネットのランサムウェア フォーラムで宣伝されています. Rustで書かれており、「かなりシンプル」, その暗号化スキームは、x25519 と AES の使用を含むかなり異なります, ランサムウェアキャンペーンではあまり見られない組み合わせ.
「LinuxとESXiの両方のサンプルは、同じソースコードを使用してコンパイルされていますが、Windowsバージョンからいくつかの小さな変更が加えられています。. 例えば, Linuxサンプルがコマンドライン引数なしで実行された場合, 彼らは実行されません. その代わり, 使用できる利用可能な引数が表示されます,カスペルスキーは言った.