A GwisinLocker vírus célpontjai: Windows, Linux, VMware

​A GwisinLocker zsarolóvírus a Windows, a Linux és a VMware alapú környezeteket sem kíméli.
 

Már korábban is jelentek meg olyan zsarolóvírusok, amelyek több operációs rendszer alatt is életképesnek bizonyultak. Sőt megfigyelhető volt, hogy az eredetileg linuxos károkozásokra kifejlesztett ransomware programok elkezdtek átalakulni olyan módon, hogy a VMware-re épülő kiszolgálók ostromlása se jelentsen számukra akadályt. E multiplatform károkozók táborához csatlakozott a GwisinLocker nevű szerzemény is.
 
Az Ahnlab és a ReversingLabs biztonsági szakértői vették alaposabban szemügyre a GwisinLockert, amelyről kiderült, hogy koreai gyökerekkel rendelkezik. Így nem véletlen, hogy az eddigi, hozzá köthető támadások is dél-koreai szervezetek ellen irányultak. Az áldozatok között ipari cégek, gyógyszeripari vállalatok és egészségügyi intézmények is vannak.
 
Kétszínűség
 
A GwisinLocker attól függően változtatja a működését, hogy éppen milyen környezetben kell károkat okoznia. Windows alatt egy MSI-fájl formájában indul el, majd egy Windows-os folyamat megfertőzésével igyekszik leplezni a jelenlétét. A háttérben pedig adatokat szivárogtat ki, illetve fájlokat titkosít. Emellett van egy olyan opciója is, amelynek révén a Windowst csökkentett módban újraindítja, és ebben a környezetben hajtja végre a feladatait.
 
A Linux/VMware kompatibilis kiadása parancssorból indul, és a paraméterezésének függvényében titkosítja az állományokat, illetve a virtuális gépeket. Képes arra, hogy a károkozás előtt leállítsa a virtuális gépeket, hogy azok ne zárolják a kompromittálandó fájlokat. A zsarolóprogram olyan módon is paraméterezhető, hogy az operációs rendszer és a VMware rendszerállományait érintetlenül hagyja, és kizárólag a felhasználói állományok, valamint a virtuális gépek tönkretételére összpontosítson.