Исследователи компании ReversingLabs обнаружили новое семейство программ-вымогателей, нацеленных на системы на базе Linux. Вредоносная программа, получившая название GwisinLocker, была обнаружена в успешных кампаниях, направленных на южнокорейские промышленные и фармацевтические компании. Вредоносная программа отличается тем, что является новым вариантом вредоносного ПО, созданным ранее малоизвестным угрожающим агентом, под названием "Gwisin" (귀신) - корейское слово, означающее "призрак" или "дух" - и нацелена на системы под управлением операционной системы Linux с открытым исходным кодом. Эта программа-вымогатель запускается после существенной компрометации сети и утечки данных.
Файлы, зашифрованные в этой кампании GwisinLocker, имеют расширение .mcrgnx, а соответствующий ключ хранится (шифруется) в отдельном 256-байтовом файле с расширением .mcrgnx0. GwisinLocker использует AES для шифрования файлов жертвы, скрывая ключ для предотвращения удобной расшифровки. Кроме того, согласно опубликованным отчетам, скомпрометированные конечные точки переименовываются в "GWISIN Ghost".
Indicators of Compromise
SHA1
- ce6036db4fee35138709f14f5cc118abf53db112
- e85b47fdb409d4b3f7097b946205523930e0c4ab