Увеличение ущерба от программы-вымогателя Gwisin
В последнее время увеличивается ущерб от программ-вымогателей Gwisin, нацеленных на корейских компании. AhnLab ASEC сообщила, что эта программа-вымогатель создается и распространяется для конкретных компаний и работает в виде установочного файла MSI, аналогичного Magniber.
Согласно опубликованному контенту, в отличие от Magniber, который распространяется среди неустановленных масс, программы-вымогатели Gwisin проявляют себя не только выполнением одного файла и требуют особого значения фактора выполнения. Эти значения параметров используются в качестве ключевой информации, необходимой для управления файлом DLL, включенным в MSI.
Из-за особенностей этого метода работы в продуктах безопасности в различных изолированных средах его может быть трудно обнаружить, поскольку программы-вымогатели не возникают только путем запуска файлов. Кроме того, внутренний DLL-файл управляется путем его внедрения в обычный процесс Windows, а целевой процесс имеет разные характеристики для каждой компании-жертвы.
Характеристики метода работы программы-вымогателя Gwisin, выявленные на данный момент, следующие.
- Распространяется в виде установочного файла MSI
- Используется для управления внутренней DLL через значение коэффициента, использованное при выполнении MSI
- Действие программы-вымогателя путем внедрения в системный процесс Windows
- Наличие зараженной информации о компании внутри DLL (отображается в примечании о выкупе)
Программа-вымогатель Gwisin меняет расширение после шифрования файла, и особенность заключается в том, что расширение носит имя целевой компании.
Записка о выкупе создается в целевой папке шифрования, а имя текстового файла с заметкой о выкупе также включает строку расширения, например «!!!_HOW_TO_UNLOCK_******_FILES_!!!.TXT». В записке о выкупе есть список контактов, а также список информации, украденной внутри компании.
Если вы посмотрите на случаи повреждения, вы увидите, что антивирусная программа, использовавшаяся до заражения программой-вымогателем, была отключена.
AhnLab ASEC сообщает что «В продукте V3 необходимо активировать опцию «Использовать диагностику на основе поведения», потому что программа-вымогатель Gwisin этого типа предварительно блокируется на этапе внедрения посредством обнаружения на основе поведения».
Кроме того, «заражение программой-вымогателем Gwisin находится в процессе установки и запуска программы-вымогателя на нескольких системах после предварительного захвата внутренней системы. Если анализ причин не будет выполнен с помощью этих действий после причинения ущерба, он может быть заменен другим вымогателем, и подобный ущерб может произойти снова»
В последнее время увеличивается ущерб от программ-вымогателей Gwisin, нацеленных на корейских компании. AhnLab ASEC сообщила, что эта программа-вымогатель создается и распространяется для конкретных компаний и работает в виде установочного файла MSI, аналогичного Magniber.
Согласно опубликованному контенту, в отличие от Magniber, который распространяется среди неустановленных масс, программы-вымогатели Gwisin проявляют себя не только выполнением одного файла и требуют особого значения фактора выполнения. Эти значения параметров используются в качестве ключевой информации, необходимой для управления файлом DLL, включенным в MSI.
Из-за особенностей этого метода работы в продуктах безопасности в различных изолированных средах его может быть трудно обнаружить, поскольку программы-вымогатели не возникают только путем запуска файлов. Кроме того, внутренний DLL-файл управляется путем его внедрения в обычный процесс Windows, а целевой процесс имеет разные характеристики для каждой компании-жертвы.
Характеристики метода работы программы-вымогателя Gwisin, выявленные на данный момент, следующие.
- Распространяется в виде установочного файла MSI
- Используется для управления внутренней DLL через значение коэффициента, использованное при выполнении MSI
- Действие программы-вымогателя путем внедрения в системный процесс Windows
- Наличие зараженной информации о компании внутри DLL (отображается в примечании о выкупе)
Программа-вымогатель Gwisin меняет расширение после шифрования файла, и особенность заключается в том, что расширение носит имя целевой компании.
Записка о выкупе создается в целевой папке шифрования, а имя текстового файла с заметкой о выкупе также включает строку расширения, например «!!!_HOW_TO_UNLOCK_******_FILES_!!!.TXT». В записке о выкупе есть список контактов, а также список информации, украденной внутри компании.
Если вы посмотрите на случаи повреждения, вы увидите, что антивирусная программа, использовавшаяся до заражения программой-вымогателем, была отключена.
AhnLab ASEC сообщает что «В продукте V3 необходимо активировать опцию «Использовать диагностику на основе поведения», потому что программа-вымогатель Gwisin этого типа предварительно блокируется на этапе внедрения посредством обнаружения на основе поведения».
Кроме того, «заражение программой-вымогателем Gwisin находится в процессе установки и запуска программы-вымогателя на нескольких системах после предварительного захвата внутренней системы. Если анализ причин не будет выполнен с помощью этих действий после причинения ущерба, он может быть заменен другим вымогателем, и подобный ущерб может произойти снова»