针对Windows和Linux ESXi服务器，勒索软件发起攻击

研究人员警告称，一种名为GwisinLocker的新勒索软件能够对Windows和Linux ESXi服务器进行加密。该勒索软件针对韩国医疗、工业和制药公司，其名称来自作者“Gwisin”（韩语中的幽灵）的名字。

勒索软件通过针对特定组织的定向攻击进行分发。专家们还表示，韩国警方，国家情报局和KISA等韩国实体的名称也出现在勒索信上。

据当地媒体报道，Gwisin黑客在公休日和凌晨攻击了韩国公司。

Windows系统上的攻击链利用MSI安装程序，需要一个特殊值作为参数来运行MSI中包含的DLL文件。

“它类似于Magniber，因为它以MSI安装程序的形式运行。但与针对随机个体的Magniber不同，Gwisin本身不执行恶意行为，它需要为执行参数提供特殊值，该值用作运行MSI中包含的DLL文件的关键信息。”安全公司Ahnlab发布的报告中写道。“文件本身不会在各种沙箱环境的安全产品上执行勒索软件活动，因此很难检测到Gwisin，勒索软件的内部DLL通过注入正常的Windows进程来运行，对于每个受攻击的公司来说，这个过程都是不同的。”

GwisinLocker勒索软件能够在安全模式下运行，它首先将自身复制到ProgramData的某个路径，然后在强制系统重新启动之前注册为服务。

Reversinglabs的研究人员分析了勒索软件的Linux版本，他们指出这是一种复杂的恶意软件，具有专门设计用于管理Linux主机和针对VMWare ESXI虚拟机的功能。GwisinLocker将AES对称密钥加密与SHA256哈希相结合，为每个文件生成唯一密钥。

Linux GwisinLocker变体的受害者需要登录到该组织运营的门户网站，才能与黑客取得联系。

“对更大规模的GwisinLocker活动的分析和公开报道表明，勒索软件掌握在复杂的黑客手中，他们在部署勒索软件之前获得了对目标环境的访问和控制权，这包括识别和窃取敏感数据，用于所谓的“双重勒索”活动。”Reversinglabs发布的报告总结道。“该组织勒索信中的细节表明，他们熟悉韩语以及韩国政府和执法部门。因此人们猜测，Gwisin可能是一个与朝鲜有关的高级持续威胁（APT）组织。”