GwisinLocker Ransomware IOCs

ransomware IOC

Исследователи компании ReversingLabs обнаружили новое семейство программ-вымогателей, нацеленных на системы на базе Linux. Вредоносная программа, получившая название GwisinLocker, была обнаружена в успешных кампаниях, направленных на южнокорейские промышленные и фармацевтические компании. Вредоносная программа отличается тем, что является новым вариантом вредоносного ПО, созданным ранее малоизвестным угрожающим агентом, под названием "Gwisin" (귀신) - корейское слово, означающее "призрак" или "дух" - и нацелена на системы под управлением операционной системы Linux с открытым исходным кодом. Эта программа-вымогатель запускается после существенной компрометации сети и утечки данных.


Файлы, зашифрованные в этой кампании GwisinLocker, имеют расширение .mcrgnx, а соответствующий ключ хранится (шифруется) в отдельном 256-байтовом файле с расширением .mcrgnx0. GwisinLocker использует AES для шифрования файлов жертвы, скрывая ключ для предотвращения удобной расшифровки. Кроме того, согласно опубликованным отчетам, скомпрометированные конечные точки переименовываются в "GWISIN Ghost".

Indicators of Compromise

SHA1

  • ce6036db4fee35138709f14f5cc118abf53db112
  • e85b47fdb409d4b3f7097b946205523930e0c4ab

Mutex

  • /tmp/.66486f04-bf24-4f5e-ae16-0af0fdb3d8fe
SEC-1275-1
Добавить комментарий