GwisinLocker Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Использует шифровальщики для Windows и Linux, включая серверы и виртуальные машины VMware ESXi.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---
© Генеалогия: родство выясняется.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---
© Генеалогия: родство выясняется.
Этимология названия:
Gwisin (귀신) — по-корейски "призрак".
Сайт "ID Ransomware" GwisinLocker пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была в середине июля 2022 г. Ориентирован на англоязычных и корейскоязычных пользователей, может распространяться по всему миру.
Цель: южнокорейские промышленные, медицинские и фармацевтические компании.
К зашифрованным файлам добавляется расширение: .[company_name]
В рассмотренном примере это: .mcrgnx
Скомпрометированные конечные точки переименовываются в GWISIN Ghost.
Записка с требованием выкупа называется по шаблону:
В рассмотренном примере это: .mcrgnx
Скомпрометированные конечные точки переименовываются в GWISIN Ghost.
Записка с требованием выкупа называется по шаблону:
!!!_HOW_TO_UNLOCK_[company_name]_FILES_!!!.TXT
В рассмотренном примере это будет:
!!!_HOW_TO_UNLOCK_MCRGNX_FILES_!!!.TXT
Записка содержит контактную информацию, а также список данных и интеллектуальной собственности, украденных у компании.
Содержание записки о выкупе:
Hello ***,
You have been visited by GWISIN.
We have exfiltrated a lot of sensitive data from your networks,
including, but not limited to:
I. Production applications, source (Git/SVN), files and DBs
[1] *** (all regions) + *** and other internal platforms
By combining lab *** data and the primary big customer platform
***, it is easy to identify customer projects, credentials and data.
Despite ISO27001 and ISMS-P with a good PIMS strategy, you have failed to protect customer data across all services.
Your privacy policy assures customers their data security and privacy is top priority, reality seems very different.
We wonder what your customers will have to say about that?
[2] *** and general DTC related data
Once again failing to protect very sensitive data and communications of your customers.
[3] Infrastructure and sequencing pipeline data / scripts
Everything from documentation to project specs to produced VCFs and PDF reports post-analysis were collected.
More importantly, a full deep dive of your network infrastructure documentation and access.
The only way to kick us out is to buy all new hardware, including network equipment (UTM / switches) and sequencing / data storage systems.
Someone could have quietly modified your *** pipeline instead of contacting you, causing you much bigger issues (legal, financial and otherwise).
Can you really trust your results, if you can't trust your input data and processing pipelines?
II. Internal Data & Communications
[1] ERP/CRM Systems (NEOE, Dynamics)
[2] Active Directory dump with credential history (NTDS + passive credential collection)
[3] DO GW with DB (your groupware contains a lot of data)
[4] Exchange email communications (PST) of targeted important employees in various roles
[5] Financial / Accounting / Research / IT / Customer / Etc. documents
- A lot of documents and other files were collected from SHARE/NEWSHARE machines among other servers
- Your DLP and monitoring was rendered effectively useless and could not stop us, neither could your security team and defensive products
We have also encrypted critical Windows and Linux servers.
We recommend that you do NOT restart servers or recovery may be slower.
The good news for you is that we can:
- Decrypt all files with extension ".mcrgnx" very quickly
- Delete all sensitive data we have exfiltrated, instead of selling it
- Help you improve your security
- Disappear and not be your problem anymore
All you have to do is follow the instructions:
1.) Download Tor Browser: https://www.torproject.org/download/
2.) Go to our website: hxxx://gwisin:fa5d9dfc@gwisin4yznpdtzq424i3la6oqy5evublod4zbhddzuxcnr34kgfokwad.onion
3.) Login with username: mcrgnx, password: ***
4.) Change password (one time setup)
5.) Setup end-to-end message encryption password
6.) Read the full instructions on the website and contact us using the message system provided there
[WARNING - #1]
If you are having trouble reaching our website, attempt closing and re-opening the Tor browser.
If you are still unable to reach our website, create a DNS TXT record @ mcrgnx.***.com containing a hex-encoded email address and we will contact you.
However, eventually we will need to communicate using our website to preserve the privacy of all parties involved.
[WARNING - #2]
Do NOT contact law enforcement (such as NPA, KISA or SMPA) or threat intelligence organizations as they may prevent you from recovering quickly.
They can't really help you and they don't care if your business is destroyed in the process.
Contact us within 72 working hours, so we can negotiate in good faith and resolve this quickly.
Привет ***,
Вас посетил GWISIN.
Мы украли много конфиденциальных данных из ваших сетей,
в том числе, но не ограничиваясь ими:
I. Производственные приложения, исходники (Git/SVN), файлы и БД
[1] *** (все регионы) + *** и другие внутренние платформы
Объединив лабораторные данные *** и основную платформу для крупных клиентов
*** легко идентифицировать проекты клиентов, учетные данные и данные.
Несмотря на ISO27001 и ISMS-P с хорошей стратегией PIMS, вам не удалось защитить данные клиентов во всех службах.
Ваша политика конфиденциальности гарантирует клиентам, что безопасность их данных и конфиденциальность являются главным приоритетом, реальность выглядит совсем иначе.
Интересно, что об этом скажут ваши клиенты?
[2] *** и общие данные, относящиеся к DTC
*****
Хотя записки о выкупе написаны на английском языке, они содержат ссылки, которые ясно дают понять, что намеченными целями являются южнокорейские фирмы. Там используются символы хангыль (письмо корейского языка) и предупреждения жертвам не связываться с рядом правоохранительных органов Южной Кореи или правительственными учреждениями, включая корейскую полицию, Национальную разведывательную службу и KISA (государственный орган Южной Кореи, регулирующий сферы кибербезопасности).
Кроме того GwisinLocker изменяет обои Рабочего стола на короткую записку со своим названием.
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Распространяется в виде файла MSI-установщика. Имеет функцию шифрования файлов в безопасном режиме.
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Распространяется в виде файла MSI-установщика. Имеет функцию шифрования файлов в безопасном режиме.
Внутренняя DLL программы-вымогателя работает путем внедрения в обычный процесс Windows. Процесс отличается для каждой зараженной компании.
Список типов файлов в ОС Windows, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
!!!_HOW_TO_UNLOCK_[company_name]_FILES_!!!.TXT - название файла с требованием выкупа;
Список типов файлов в ОС Windows, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Следующие каталоги в ОС Linux исключены из шифрования, чтобы предотвратить сбои в работе этой системы:
bin, boot, dev, etc, lib, lib64, proc, run, sbin, srv, sys, tmp, usr, var, bootbank, mbr, tardisks, tardisks.noauto, vmimages
Эти службы и связанные с ними процессы в ОС Linux уничтожаются перед шифрованием (если установлена опция --vm=2), чтобы обеспечить закрытие дескрипторов открытых файлов:
apache, httpd, nginx, oracle, mysql, mariadb, postgres, mongod, elasticsearch, jenkins, gitlab, docker, svnserve, yona, zabbix, graylog, java
Следующие имена файлов исключаются из шифрования (если установлена опция --sf), поскольку они важны для операций VMWare ESXI. Возможно, чтобы сохранить доступ к виртуальным машинам ESXi. Записки о выкупе также исключены.
imgdb.tgz, onetime.tgz, state.tgz, useropts.gz, jumpstrt.gz, imgpayld.tgz, features.gz, !!!_HOW_TO_UNLOCK_MCRGNX_FILES_!!!.TXT
Это целевые каталоги для шифрования файлов:
/Information/Database/, /Information/korea_data/, /Information/, /Infra/, /var/www/, /var/opt/, /var/lib/mysql/, /var/lib/postgresql/, /var/log/, /usr/local/svn/, /var/lib/docker, /var/db/mongodb, /var/lib/mongodb/, /var/lib/elasticsearch/, /u01/, /ORCL/, /var/lib/graylog-server/, /usr/local/
Если указан параметр --vm=1, GwisinLocker выполняет следующие команды для выключения компьютеров VMWare ESXi перед шифрованием:
esxcli --formatter=csv --format-param=fields=="DisplayName,WorldID" vm process list
esxcli vm process kill --type=force --world-id="[ESXi] Shutting down - %s"
Подробности шифрования (из статьи ReversingLabs):
GwisinLocker сочетает шифрование с симметричным ключом AES с хешированием SHA256, создавая уникальный ключ для каждого файла.
Шифрование файлов выполняется по следующему сценарию.
1. Инициируется RSA контекст из встроенного открытого ключа.
2. Генерируется случайный AES ключ и IV:
Инициируется новый SHA256 контекст.
Считываются 32 байта из /dev/urandom, хэш с SHA256 контекстом.
Используется SHA256 дайджест в качестве ключа для инициализации AES контекста и создания AES ключа.
Повторяются шаги 1-3 с 16 новыми байтами из /dev/urandom, чтобы сгенерировать вектор инициализации.
3. Переименовывается целевой файл в [targetfile].mcrgnx.
4. Шифруется и сохраняется AES ключ в файле [targetfile].mcrgnx0 :
Инициируется новый SHA256 контекст.
Считываются 32 байта из /dev/urandom, хэш с SHA256 контекстом.
Используется SHA256 дайджест в качестве ключа для инициализации AES контекста и создания AES ключа 2.
Шифруется AES ключ из части 1 с помощью AES ключа 2.
Шифруется полученный буфер с помощью RSA контекста.
Записывается зашифрованный ключ в [targetfile].mcrgnx0
5. Наконец, шифруется [targetfile].mcrgnx с помощью незашифрованного AES ключа и IV, сгенерированных на шаге 1.
Файлы, связанные с этим Ransomware:
!!!_HOW_TO_UNLOCK_[company_name]_FILES_!!!.TXT - название файла с требованием выкупа;
pox9fxkov.dll, xyfl7gns5.dll - внедряемая DLL;
<random>.exe - случайное название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: hxxx://gwisin:fa5d9dfc@gwisin4yznpdtzq424i3la6oqy5evublod4zbhddzuxcnr34kgfokwad.onion
<random>.exe - случайное название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: hxxx://gwisin:fa5d9dfc@gwisin4yznpdtzq424i3la6oqy5evublod4zbhddzuxcnr34kgfokwad.onion
Tor-URL: hxxx://gwisin4yznpdtzq424i3la6oqy5evublod4zbhddzuxcnr34kgfokwad.onion
Email: -
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB - GwisinLocker Ransomware (32x ELF-файл)
MD5: 94c58621f98f796e8b0532e6753b57fe
SHA-1: ce6036db4fee35138709f14f5cc118abf53db112
SHA-256: 71947bbbce8d625b82f2575f33808a3150c21b9d695bc1c0b35c9c10c4a961a3
Vhash: 35300d04482f128b1b6df698f452b66d
IOC: VT, HA, IA, TG, AR, VMR, JSB - GwisinLocker Ransomware (64x ELF-файл)
MD5: 7869667a9713df3359301842858adcac
SHA-1: e85b47fdb409d4b3f7097b946205523930e0c4ab
SHA-256: 7594bf1d87d35b489545e283ef1785bb2e04637cc1ff1aca9b666dde70528e2b
Vhash: 95b97ca2b28295d31df26e4fed621ca7
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Write-up, Write-up, Topic of Support ***
Thanks: BleepingComputer, AhnLab, ReversingLabs Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
