- 19,420
- 40
- 8 Ноя 2022
Один файл, один запуск — и больше никакого восстановления.
Исследовательская команда CYFIRMA Для просмотра ссылки Войдиили Зарегистрируйся новое Для просмотра ссылки Войди или Зарегистрируйся ПО — Lyrix Ransomware, разработанное на языке Для просмотра ссылки Войди или Зарегистрируйся и скомпилированное с помощью PyInstaller для запуска на Windows в виде самостоятельного исполняемого файла. Это позволило объединить все зависимости в один файл, облегчая распространение вируса. Lyrix использует мощное шифрование и уникальные методы уклонения от обнаружения, что делает его особенно опасным для систем и затрудняет удаление. Впервые его активность зафиксирована 20 апреля 2025 года.
По данным специалистов, программа маскирует вредоносное поведение, обходит сигнатурную защиту, шифрует пользовательские файлы и угрожает утечкой данных. Каждому зашифрованному файлу присваивается расширение «.02dq34jROu», а сами зашифрованные ключи сохраняются в системной директории ProgramData в виде файла с тем же именем. Расшифровать данные без приватного ключа злоумышленников невозможно.
Lyrix Ransomware запускается под видом файла Encryptor.exe (размер — 20,43 МБ) и использует стандартный формат Win32 EXE с заголовком «MZ». Он не подписан цифровой подписью, что дополнительно затрудняет его блокировку Для просмотра ссылки Войдиили Зарегистрируйся . В момент заражения программа сканирует пользовательские директории — Загрузки, Документы, Рабочий стол, Изображения, Музыка и Видео — и выборочно шифрует файлы популярных форматов, таких как DOCX, PDF, XLS и JPG. При этом исполняемые файлы, библиотеки DLL и ярлыки не затрагиваются, чтобы не нарушить работу системы и избежать преждевременного обнаружения.
Для создания и хранения ключей шифрования Lyrix генерирует уникальный AES-ключ и шифрует его с помощью встроенного RSA-публичного ключа. После этого вирус удаляет все теневые копии системы, используя команды <code>vssadmin delete shadows /all /quiet</code> и <code>wmic shadowcopy delete</code>, чтобы заблокировать попытки восстановления данных. Затем он модифицирует загрузочную конфигурацию Windows, отключая системные сообщения об ошибках (<code>bcdedit /set {default} bootstatuspolicy ignoreallfailures</code>) и выключает среду восстановления Windows (<code>bcdedit /set {default} recoveryenabled no</code>).
После завершения шифрования в каждом каталоге оставляется файл «Readme.txt» с инструкциями по выкупу. В сообщении утверждается, что данные были украдены и зашифрованы. Жертве предлагается расшифровать два файла бесплатно в качестве доказательства. Угроза обнародовать часть данных используется как дополнительный рычаг давления. Контактный адрес — ProtonMail, зарегистрированный в апреле 2025 года.
Технический анализ показал, что Lyrix использует целый арсенал антивиртуализационных и антианалитических техник, включая <code>VirtualProtect</code>, <code>Sleep</code>, <code>GetCurrentProcess</code>, <code>TerminateProcess</code>, <code>GetStartupInfoW</code>, <code>GetWindowLongPtrW</code> и <code>ShutdownBlockReasonCreate</code>. Всё это направлено на маскировку поведения и затруднение автоматического анализа. В рамках MITRE ATT&CK зафиксированы следующие техники: от запуска скриптов и внедрения процессов до сокрытия артефактов и манипуляции с учетными данными.
В рамках противодействия угрозе, специалисты рекомендуют:
или Зарегистрируйся копий на защищённых и отключённых от сети носителях.
Исследовательская команда CYFIRMA Для просмотра ссылки Войди
По данным специалистов, программа маскирует вредоносное поведение, обходит сигнатурную защиту, шифрует пользовательские файлы и угрожает утечкой данных. Каждому зашифрованному файлу присваивается расширение «.02dq34jROu», а сами зашифрованные ключи сохраняются в системной директории ProgramData в виде файла с тем же именем. Расшифровать данные без приватного ключа злоумышленников невозможно.
Lyrix Ransomware запускается под видом файла Encryptor.exe (размер — 20,43 МБ) и использует стандартный формат Win32 EXE с заголовком «MZ». Он не подписан цифровой подписью, что дополнительно затрудняет его блокировку Для просмотра ссылки Войди
Для создания и хранения ключей шифрования Lyrix генерирует уникальный AES-ключ и шифрует его с помощью встроенного RSA-публичного ключа. После этого вирус удаляет все теневые копии системы, используя команды <code>vssadmin delete shadows /all /quiet</code> и <code>wmic shadowcopy delete</code>, чтобы заблокировать попытки восстановления данных. Затем он модифицирует загрузочную конфигурацию Windows, отключая системные сообщения об ошибках (<code>bcdedit /set {default} bootstatuspolicy ignoreallfailures</code>) и выключает среду восстановления Windows (<code>bcdedit /set {default} recoveryenabled no</code>).
После завершения шифрования в каждом каталоге оставляется файл «Readme.txt» с инструкциями по выкупу. В сообщении утверждается, что данные были украдены и зашифрованы. Жертве предлагается расшифровать два файла бесплатно в качестве доказательства. Угроза обнародовать часть данных используется как дополнительный рычаг давления. Контактный адрес — ProtonMail, зарегистрированный в апреле 2025 года.
Технический анализ показал, что Lyrix использует целый арсенал антивиртуализационных и антианалитических техник, включая <code>VirtualProtect</code>, <code>Sleep</code>, <code>GetCurrentProcess</code>, <code>TerminateProcess</code>, <code>GetStartupInfoW</code>, <code>GetWindowLongPtrW</code> и <code>ShutdownBlockReasonCreate</code>. Всё это направлено на маскировку поведения и затруднение автоматического анализа. В рамках MITRE ATT&CK зафиксированы следующие техники: от запуска скриптов и внедрения процессов до сокрытия артефактов и манипуляции с учетными данными.
В рамках противодействия угрозе, специалисты рекомендуют:
- запретить запуск исполняемых файлов из временных директорий с помощью AppLocker или SRP;
- ограничить доступ к командам <code>vssadmin</code>, <code>wmic</code>, <code>bcdedit</code> и другим системным утилитам;
- усилить защиту электронной почты и фильтрацию вложений;
- использовать современные Для просмотра ссылки Войди
или Зарегистрируйся , отслеживающие массовое переименование или шифрование файлов;
- проводить регулярное обучение сотрудников, в том числе с использованием имитаций Для просмотра ссылки Войди
или Зарегистрируйся атак;
- поддерживать актуальность планов реагирования на инциденты и регулярно их тестировать;
- изолировать заражённые системы сразу после выявления активности;
- сохранять артефакты для последующего анализа и не удалять зашифрованные файлы;
- не платить выкуп, так как это не гарантирует восстановления данных.
- Источник новости
- www.securitylab.ru
