В вашем сервере завелся «Призрак» |
||
МЕНЮ Главная страница Поиск Регистрация на сайте Помощь проекту Архив новостей ТЕМЫ Новости ИИ Голосовой помощник Разработка ИИГородские сумасшедшие ИИ в медицине ИИ проекты Искусственные нейросети Искусственный интеллект Слежка за людьми Угроза ИИ ИИ теория Внедрение ИИКомпьютерные науки Машинное обуч. (Ошибки) Машинное обучение Машинный перевод Нейронные сети начинающим Психология ИИ Реализация ИИ Реализация нейросетей Создание беспилотных авто Трезво про ИИ Философия ИИ Big data Работа разума и сознаниеМодель мозгаРобототехника, БПЛАТрансгуманизмОбработка текстаТеория эволюцииДополненная реальностьЖелезоКиберугрозыНаучный мирИТ индустрияРазработка ПОТеория информацииМатематикаЦифровая экономика
Генетические алгоритмы Капсульные нейросети Основы нейронных сетей Распознавание лиц Распознавание образов Распознавание речи Творчество ИИ Техническое зрение Чат-боты Авторизация |
2022-08-10 02:04 Новое семейство программ-вымогателей под названием GwisinLocker нацелено на южнокорейские медицинские, промышленные и фармацевтические компании с помощью шифраторов Windows и Linux, включая технологию шифрования серверов и виртуальных машин VMware ESXi. Новое вредоносное ПО разработал малоизвестный хакер по имени Gwisin, что в переводе с корейского означает «призрак». Корейские эксперты по кибербезопасности из Ahnlab опубликовали отчет о шифровальщике Windows, а исследователи безопасности из ReversingLabs выпустили технический анализ версии для Linux. При шифровании устройства Windows заражение начинается с выполнения установочного MSI-файла, который требует специальных аргументов командной строки для правильной загрузки встроенной DLL-библиотеки. DLL действует как шифровальщик программы-вымогателя. Требование аргументов командной строки усложняет анализ программы специалистами. Когда предоставлены правильные аргументы командной строки, MSI расшифровывает и внедряет свою внутреннюю DLL-библиотеку (программу-вымогатель) в процесс Windows, чтобы избежать обнаружения антивирусным ПО. Иногда аргумент может установить программу для работы в безопасном режиме. В этом случае программа копируется в папку ProgramData и регистрируется как служба. Для версии Linux GwisinLocker ориентирован на шифрование виртуальных машин VMware ESXi, включая 2 аргумента командной строки, которые управляют тем, как вредоносное ПО будет шифровать виртуальные машины. Аргументы также включают «–vm», который перечисляет виртуальные машины и останавливает их работу. Аргументы командной строки для шифровальщика Linux перечислены ниже:
А чтобы сервер Linux не стал непригодным для использования, GwisinLocker исключает из шифрования некоторые каталоги, в том числе «bin», «boot», «dev», «etc» и т.д. Программа-вымогатель также исключает определенные файлы, связанные с VMware ESXi (state.tgz, useropts.gz, jumpstrt.gz и т. д.), чтобы сервер не загружался. По итогу GwisinLocker завершает работу нескольких демонов Linux перед запуском процесса шифрования, чтобы сделать их данные доступными для блокировки. Шифровальщик использует AES-шифрование с хешированием SHA256. Все шифраторы включают название компании в записке с требованием выкупа и используют уникальное расширение для зашифрованных имен файлов. Для одной выявленной жертвы хакер в примечании о выкупе описал украденные файлы для доказательства компрометации. Записка с требованием выкупа называется «!!!_HOW_TO_UNLOCK_[company_name]_FILES_!!!.TXT» и предупреждает жертву не обращаться в правоохранительные органы Южной Кореи или KISA (Корейское агентство Интернета и безопасности). Киберпреступник предложил жертве посетить onion-адрес с помощью браузера Tor, войти в систему с предоставленными хакером учетными данными и следовать инструкциям по оплате выкупа и восстановлению файлов. Источник: www.securitylab.ru Комментарии: |
|