Привет, Хабр!

Я Илья Борисов, старший специалист отдела экспертизы MaxPatrol EDR антивирусной лаборатории Positive Technologies.

В 2025 году команда аналитиков антивирусной лаборатории PT ESC провела исследование актуальных семейств ransomware (aka шифровальщиков), чтобы повысить эффективность их обнаружения нашим продуктом. Этот вид ВПО оказался одним из наиболее значимых и заметных разновидностей вредоносов, используемых в атаках в 2025 году.

Коротко о ransomware

Шифровальщик (ransomware) — это вредоносное программное обеспечение, нацеленное на шифрование баз данных, элементов виртуальной среды и файлов на компьютере жертвы. Для восстановления зашифрованных сведений злоумышленник требует выкуп. Подобные атаки наносят как материальный ущерб (в виде остановки бизнес-процессов или производства), так и репутационный — в случае обнародования информации.

Мы проанализировали образцы, замеченные в период с конца 2024 года по конец 2025-го. Были разобраны как давно известные семейства шифровальщиков, такие как Black Basta, MedusaLocker и LockBit, и относительно недавно появившиеся Lynx, HellCat и BERT.

В этой статье хочу поделиться результатами этого исследования. Для начала расскажу про типы шифровальщиков, на кого они нацелены, как работают, подсвечу технические детали, а также ретроспективно прослежу некоторые тенденции в эволюции ransomware.

На кого направлены атаки шифровальщиков

За такими атаками может стоять вполне себе прагматичная финансовая модель.

Часто для компании-жертвы цена простоя с учетом времени восстановления зашифрованных данных оказывается выше цены выкупа. Поэтому она может быстро согласиться перевести деньги операторам шифровальщика — но только если этому не мешают юридические ограничения (например, если выплата невозможна без согласования на государственном уровне). Как правило, это касается крупного бизнеса, например нефтедобывающей отрасли.

Другой желанной целью может стать объект критической инфраструктуры, остановка работы которого повлияет на безопасность людей или на состояние окружающей среды. Это могут быть как государственные учреждения и банки, так и предприятия, связанные с энергетикой и тяжелой промышленностью.

Приоритетной целью для получения выкупа выступают и компании, для которых зашифрованные данные являются долгосрочным активом: их потеря приведет к утрате ресурсов, накапливаемых на протяжении длительного времени. Пример — игровые студии. Сюда же относится вариант атаки с использованием double extortion (двойное вымогательство): злоумышленники не только шифруют файлы, но и крадут данные для последующего шантажа (например, для того, чтобы угрожать обнародовать похищенную информацию). Риск публикации украденных файлов мотивирует жертву к выплате выкупа.

Средние предприятия (по объему выручки) тоже могут быть целями атак с использованием шифровальщиков, но уступают в привлекательности описанным выше организациям. Атака на личный компьютер обычного человека с целью шифрования его данных с точки зрения финансовой привлекательности кратно уступает атаке на бизнес.

Шифровальщики, которые не требуют выкупа

Есть две достаточно уникальные группы вымогателей — хактивисты и те, кто пытается с помощью ransomware скрыть следы своего присутствия в информационных системах жертвы.

Для хактивистов атака с использованием ransomware выступает в роли аналога другой атаки — с использованием вайпера. Вайпер (от англ. wipe — стирать) используется для уничтожения данных. Таким образом, киберпреступники преследуют цель нанести жертве максимальный финансовый урон без шансов на восстановление файлов.

Вторая группа злоумышленников использует ransomware с похожей целью, но другим мотивом. Им важно скрыть следы другой своей вредоносной активности.

Векторы атак

Важно сразу оговориться: в большинстве случаев шифрование пользовательских файлов осуществляется на заключительном этапе атаки. Как правило, этому процессу предшествуют следующие шаги:

  • получение первоначального доступа к системе;

  • обход средств детектирования угроз;

  • повышение привилегий;

  • закрепление в системе;

  • распространение внутри сети (опционально).

Лишь затем применяется ransomware. Тем не менее необходимо определить, с чего начинается атака.

Перечисленные ниже векторы могут быть использованы и в других случаях, но, как правило, именно с них начинаются атаки с применением шифровальщиков:

  • Фишинг. Применение вредоносных файлов или ссылок для того, чтобы с их помощью заставить пользователей обманным способом загрузить или запустить малварь.

  • Получение удаленного доступа через скомпрометированные учетные данные. Кража, перебор слабых паролей, использование имен пользователей и паролей по умолчанию для проникновения в информационную систему.

  • Эксплуатация уязвимостей. Атаки на уязвимые компоненты (программное обеспечение, сервисы). Это особенно опасно, так как злоумышленник может сразу получить привилегированный доступ к информационной системе. Категория повышенного риска — компоненты, снятые с поддержки.

  • Атака на цепочку поставок. Проникновение в инфраструктуру посредством внедрения вредоносного кода в сторонний компонент.

  • Компрометация интернет-ресурса. Проникновение в инфраструктуру после того, как пользователь загрузит на устройство код из внешнего неподконтрольного репозитория.

  • Активность внутреннего нарушителя. Идейно мотивированные сотрудники могут содействовать злоумышленникам, предоставляя им доступ к системе или понижая уровень защищенности компонентов.

Модели распространения шифровальщиков

Перед проведением атаки у злоумышленника должен возникнуть вопрос: какими техническими средствами будет осуществляться шифрование компонентов информационной системы? Здесь происходит первая развилка: можно использовать стандартные средства, какие-либо сторонние инструменты, имеющие эту функциональность, или применить непосредственно шифровальщик.

К стандартным средствам шифрования Windows относится BitLocker. Он позволяет шифровать целые тома дисков. В случае успешной атаки злоумышленник, используя BitLocker, сможет либо зашифровать все файлы, либо поменять ключ шифрования. При этом не нужно распространять вредонос на хосты жертвы.

К сторонним инструментам можно отнести более чем легальные программы-архиваторы, например 7-Zip или WinRAR. Как правило, в наборе их функций есть возможность не только сжимать файлы, но также применять к ним различные способы шифрования. К тому же они могут быть уже установлены на системе жертвы, ну или в худшем случае их появление может быть не столь подозрительно. Отдельно важно отметить, что подобные программы часто содержат библиотеки с API, которые могут быть задействованы в разрабатываемом ransomware.

Ну а что с самим ransomware? В современных условиях у злоумышленника также есть пространство для маневра. Самый простой и понятный способ — запустить программу-шифровальщик самостоятельно. Можно как сделанную с нуля, так и используя готовые библиотеки с функциональностью шифрования (те же самые архиваторы). В подобных реализациях можно найти все что угодно, вплоть до собственных алгоритмов шифрования. Хотя последнее — уже архаика и нам не встречалось.

На этом возможности не заканчиваются. Злоумышленник может найти в публичных репозиториях вполне себе готовый шифровальщик. Например, участвующий в разборе Yurei является расширенной версией Prince, и при желании любой сможет найти его исходный код.

Дальше — больше. Развитие AI-технологий позволяет создавать код не прибегая к программированию. Вайбкодинг открывает для злоумышленника практически безграничные возможности по созданию любых программ, включая и ransomware. По нашему мнению, из исследуемых объектов в эту категорию попал FunkSec.

Но есть, пожалуй, самый прагматичный подход для получения шифровальщика — обратиться к профессионалам. Представьте, что существуют организованные группы людей, которые развивают свое ВПО на одном уровне с коммерческими программными продуктами и за определенный процент готовы предоставить сконфигурированный именно под ваши цели ransomware. Такая модель распространения получила название ransomware as a service. Возможно, самым известным примером из участвовавших в разборе является LockBit. На момент написания статьи вышла его пятая версия.

Важно понимать, что какой бы способ злоумышленник ни выбрал для реализации атаки, все они представляют угрозу и могут нанести вред информационной системе.

Развитие атаки

В ходе развития атаки с использованием шифровальщиков перед злоумышленником, скорее всего, будет стоять минимум три базовые задачи:

  1. Остаться незамеченным до момента начала шифрования данных.

  2. Повысить привилегии.

  3. Получить доступ к компонентам информационной сети, на которых планируется зашифровать данные.

Первые две задачи чаще всего решаются крайне занятным способом — атаками BYOVD (bring your own vulnerable driver). Злоумышленник приносит подписанный, но уязвимый драйвер, через запуск и установку которого повышает свои привилегии и пытается отключить средства защиты, такие как антивирус и EDR-решение. Важно отметить, что и Microsoft, и вендоры антивирусов, включая Positive Technologies, отслеживают уязвимые драйверы и блокируют их запуск в системе. Хотя их список регулярно пополняется, процесс обновления может иметь некоторый лаг — в это время у злоумышленника все еще будет возможность воспользоваться уязвимостью.

Суть третьей задачи при решенных предыдущих двух сводится к захвату контроллера домена. В случае успеха, оставшись незамеченным, злоумышленник сможет, используя групповые политики, централизованно развернуть процесс шифрования данных на всех хостах информационной сети. Ему также потребуется остановить все процессы, которые блокируют доступ к файлам, что можно сделать посредством тех же групповых политик или вручную на отдельных хостах.

Технические особенности реализации и функционирования ransomware

Теперь посмотрим непосредственно на разновидности ransomware и попробуем построить общую картину.

Расширения вредоносных файлов и языки программирования, используемые при написании исследованных шифровальщиков
Расширения вредоносных файлов и языки программирования, используемые при написании исследованных шифровальщиков

Это будет скомпилированный бинарный файл. Рассмотренные файлы в 94% случаев имели расширение .exe и в 6% случаев — .dll. По языкам программирования, на которых они реализованы, картина следующая: C++ — 52%, C — 18%, Rust — 18%, Go — 6%, C# — 6%.

У файла, скорее всего, не будет никакой цифровой подписи; в 6% случаев она была, но являлась невалидной. Запуск приложения без подписи или с невалидной подписью является крайне подозрительной активностью, которая часто требуется для отключения защиты со стороны ransomware.

В 6% случаев ransomware требовал пароль в качестве аргумента командной строки — попытка скрыть вредоносную функциональность при изолированном запуске.

Все ransomware, кроме LockBit, заточены под работу в обычном режиме (не в безопасном, не safeboot). Кроме того, никакой ransomware не имеет компонента уровня ядра (драйвера). Шифрование файлов осуществляется в несколько потоков — выделился только нейрослопный шифровальщик FunkSec, работающий в один поток. Кроме того, будет создан только один процесс, но и здесь есть исключение в виде семейства ALPHV: оно работает в 35 дочерних процессах, родительский процесс управляет ими через пайпы.

Теперь – про шифрование

Все, кроме одного семейства, используют асимметричные алгоритмы для шифрования симметричного ключа или согласования общего секрета, а симметричные алгоритмы — для шифрования файлов. Исключение — нейрослоп FunkSec, который не использует асимметрию, что позволяет расшифровать файлы, имея на руках зашифрованный образец.

Самый распространенный из симметричных алгоритмов — AES: 68% шифровальщиков, рассмотренных в статье, использовали его в различных режимах. На втором месте — ChaCha с разной длиной ключа: он использовался в 48% случаев. Иногда встречаются RC4, Salsa20, а также более редкие варианты, такие как Kcipher-2, HC-256.

Среди асимметричных алгоритмов на первом месте RSA (76% случаев), на втором — X25519 (13%). Более редкие варианты — SM2, Secp256k1.

В 79% рассмотренных шифровальщиков используются реализации алгоритмов из открытых источников, сторонние библиотеки (OpenSSL, TF-PSA-Crypto, Nettle, Crypto++) либо стандартные библиотеки языка. Полностью полагаются на нативный API только 12% семейств. Еще 9% используют WinAPI для шифрования ключа алгоритмом RSA, при этом симметричный алгоритм системный API не вызывает.

Начинаем шифровать

Шифровать файлы можно как полностью, так и частично. Во втором случае могут быть варианты: непрерывное шифрование начальной части файла, шифрование всего файла блоками с незашифрованными промежутками между ними. Около 78% шифровальщиков используют комбинированный подход, причем то, будет ли файл зашифрован полностью или частично, у 66% рассмотренных вредоносов зависит от размера файла. В остальных случаях обычно файл шифруется полностью, независимо от размера (у 16% изученных семейств шифровальщиков), либо всегда шифруется только его начальная часть (у 6%).

Все ransomware добавляют в файл дополнительную информацию, необходимую для расшифрования: 93% рассмотренных шифровальщиков добавляют ее в конец файла, но есть образцы, которые помещают всю эту информацию или ее часть в начало, перед зашифрованными данными (Yurei, NailaoLocker, FunkSec). Помимо криптографических данных (например, зашифрованного ключа и IV) зачастую добавляются сведения о размере оригинального файла, количестве зашифрованных блоков, ID вредоносной кампании, разнообразные маркеры, обозначающие начало и конец информации для расшифрования.

Схемы шифрования

Самая популярная схема работы — с переименованием шифруемого файла (BERT, BlackBasta, BlackSuit)
Самая популярная схема работы — с переименованием шифруемого файла (BERT, BlackBasta, BlackSuit)

1. Шифрование изначального файла блоками.

2. Дописывание информации для расшифрования в конце файла.

3. Переименование файла.

Есть ряд вариаций этой схемы:

  • Переименование идет первым действием (ALPHV, Fog, Warlock).

  • Информация для расшифрования дописывается первым шагом (DragonForce, Gunra).

  • Перед запуском шифрования в начало файла записывается название шифровальщика (NailaoLocker).

  • Создаются временные резервные копии шифруемых файлов, которые будут удалены после успешного шифрования целевого файла (Akira).

  • Информация для расшифрования обновляется по мере обработки файла (Lynx, Play).

  • Файл переименовывается в процессе шифрования, между шифрованием двух блоков (PE32).

  • Переименования и создания нового файла не происходит (HellCat).

Схема с созданием файла (Cl0p, FunkSec, Yurei)
Схема с созданием файла (Cl0p, FunkSec, Yurei)

  1. Создание нового пустого файла (с названием как у оригинального, только с добавлением расширения шифровальщика).

  2. Запись зашифрованного контента в новый файл.

  3. Добавление информации для расшифрования в конец.

  4. Удаление оригинального файла.

Данная схема также может иметь вариации:

  • Информация для расшифрования добавляется в начало файла, а не в конец, перед записью зашифрованного контента (FunkSec).

  • Создается новый пустой файл со временным названием, и лишь затем, после шифрования, он окончательно переименовывается (Yurei).

Схема через маппинг контента файла в память процесса (Cl0p, KawaLocker)
Схема через маппинг контента файла в память процесса (Cl0p, KawaLocker)

  1. Создание отображения шифруемого файла с помощью CreateFileMapping.

  2. Последовательные вызовы MapViewOfFile с шифрованием контента.

  3. Добавление информации для расшифрования в конец файла.

  4. Переименование файла (добавляется расширение шифровальщика).

Опять же, могут существовать вариации. Например, изначальный файл может быть переименован перед началом шифрования (KawaLocker).

Какого-то принципиального различия в этих схемах нет: поменяй схему для одного семейства на схему для другого — и останется все то же надежное шифрование. Однако существующие особенности имеют большую ценность для создания средств защиты (антивирусов, EDR-решений) и динамического бэкапа (для отслеживания изменений в файловой системе).

Выбор файлов для шифрования

Одна из задач шифровальщика — сохранить работоспособность системы после шифрования данных. По этой причине из выборки часто исключаются определенные директории, необходимые для работы операционной системы, и расширения файлов. С другой стороны, такие приложения, как Microsoft SQL Server, наоборот, являются желаемой целью, и их целенаправленно выводят из строя.

Игнорируемые директории

Windows, Boot, $Recycle.Bin, System Volume Information, ProgramData, Program Files (x86), Program Files, AppData, Temp, All Users, Application Data, PerfLogs

Какие директории берут целенаправленно

C:\Program Files\Microsoft SQL Server, C:\Program Files\Microsoft SQL Server, С:\Program Files\Microsoft\Exchange Server, С:\Program Files (x86)\Microsoft\Exchange Server

Часто игнорируемые файлы

boot.ini, ntuser.dat, desktop.ini, ntuser.ini.

Расширения файлов, которые целенаправленно шифруются

vmdk, vhd, dbf, sql, mdb, vdi, ora, mdf, vmem, vmsd, db, vmx, sqlite, bin, vhdx, pdb, iso, raw, nvram, vmsn, trm, nyf, te, mud, ib, owc, dbs, rctd, arc, dbt, 4dl, ddl, gdb, pnz, udl, nrmlib, ndf, ecx, mpd, udb, accdr, xdb, dct, vsv, cat, rodx, temx, accdb, dadiagrams, tps, accde, myd, mrg, sis, vmrs, ihx, fmp12, xmlff, qvd, qcow2, fol, eco, v12, pdm, p97, abx, maf, fmpsl, itdb, sdb, lwx, accft, sqlite3, grdb, kexic, fp7, sdf, wdb, rbf, vpd, bdf, dxl, fmp, usr, dsn, 4dd, kexi, ns2, nv, dsk, mas, accdc, dad, ns3, pan, dbv, lgc, mdn, dtsx, db2, pvm, daschema, fp5, wrk, dacpac, xld, db, dcx, orx, adn, fpt, cpd, dqy, kexis, epim, dbx, edb, sbf, ade, p96, odb, adb, vis, adp, accdt, db, itw, trc, frm, spq, accdw, mdt, kdb, vvv, lut, icr, oqy, fm5, fp3, maq, avhd, icg, fdb, abcddb, fp4, dp1, alf, dlis, mar, ns4, mwb, maw, fic, ask, sqlitedb, nv2, hjt, hdb, jet, sdc, mav, scx, avdx, exb, rsd, nwdb, his, fcd, db3, gwi, btr, ckp, cdb, cma, idb, adf, nnt, sas7bdat, wmdb, jtx, rod, vmcx, nsf, tmd, qry, rpd, dbc, dcb, subvol, abs, rar, zip, bak, 7z, cpp, bkp, eml, wav, mov, wma, kdbx, jar, c, mkv, vcs, apk, odt, tar, deb, html, nfs, m3u, pptx, md, sh, csr, tiff, csv, ai, ipa, dmg, xlsx, azw3, xps, aac, parquet, js, psd, svn, ps, tar, dwg, opf, pfx, ods, mp4, ts, dll, chm, avro, xml, msg, pdf, ear, flac, cue, py, ogg, log, dxf, hdf5, war, bat, fla, git, json, fb2, odp, jsx, lst, eps, ini, tgz, msi, pgp, webm, cer, djvu, xz, gpg, exe, docx, tex, midi, flv, svg, tsx, rpm, indd, avi, rtf, css, etl, dat, java, bib, pem, png, key, mp3, txt, php, yaml, epub, vmss, hdd, dmp, ibd, oraenv, smd, lck, gz

Расширения файлов, которые часто игнорируются

exe, dll, sys, lnk, msi, bat, com, cmd, ocx, drv, scr, ps1, ico, rom, mpa, mod, nomedia, idx, ani, ics, icns, shs, hlp, msc, msu, msp, icl, theme, themepack, cur, cpl, rtp, key, spl, prf, msstyles

Сопутствующие действия шифровальщиков

Лишь треть изученного ransomware изменяет обои рабочего стола, чтобы показать жертве, что ее пошифровали, и оказать тем самым психологическое воздействие на нее. В 15% ВПО это необязательная опция. Кроме того, в процессе шифрования не будет никаких screen locker и таймеров отсчета времени оплаты.

Примерно 12% семейств изменяют иконку, ассоциированную с расширением зашифрованных файлов, — чтобы подсветить жертве, какие файлы были зашифрованы (это должно оказать на нее психологическое воздействие). Шифрование сетевых дисков выполняет 81% семейств, у 28% оно вынесено в необязательную опцию.

Помимо прочего, 15% семейств очищают корзину с помощью вызова API функции SHEmptyRecycleBin. Теневые копии удаляет 72% семейств:

  • 48% семейств запускает для этого утилиту vssadmin;

  • 19% семейств использует WMI;

  • 9% семейств удаляет теневые копии через COM-интерфейс IvssBackupComponents.

Самый необычный вариант удаления теневых копий — у семейства Lynx: ВПО отправляет драйверу файловой системы ioctl-команду IOCTL_VOLSNAP_SET_MAX_DIFF_AREA_SIZE для уменьшения размера хранилища до 1 байта.

Интересные факты о семействах шифровальщиков

  • ALPHV. Содержит в конфиге много опций, относящихся к ESXi.

  • GunRa. Файл собран в отладочном режиме.

  • KawaLocker. Использует кастомную версию алгоритма шифрования Salsa20 с константой 14 вместо 18 в четвертом четверть-раунде.

  • Lynx. Умеет печатать свою записку на принтерах. Шифрует один файл в несколько потоков.

  • Mallox. Изменяет схему питания машины (предположительно — для ускорения процесса шифрования).

  • Medusa. Использует утилиту wbadmin для удаления резервных копий системы.

  • PE32. Отправляет свой лог работы в Telegram-бот. Создает в корне диска папку PE32-KEY с контекстом шифрования, в том числе с ключами.

  • Yurei. Копирует себя на сетевые и USB-диски.

Как правило, записка с требованием выкупа создается в каждой шифруемой директории до шифрования первого файла — такое поведение наблюдается у 68% семейств. Это позволяет обнаружить действия ВПО еще до начала непосредственного шифрования данных.

А что изменилось за последние годы?

  1. Злоумышленники стали целиться на средства виртуализации и резервные копии — включать в список расширений для шифрования файлы виртуальных машин и средств контейнеризации, а также добавлять механизмы взаимодействия с гипервизорами.

  2. ML-модели — в зоне риска. С развитием AI-технологий ML-модели и данные, на основе которых они обучаются, стали ценным активом.

  3. Удаление или отключение бэкапов — норма. В случае шифрования файлов на хосте ransomware предусмотрительно пытается стандартными средствами ОС отключить механизм бэкапа и удалить уже сделанные снимки файловой системы.

  4. Привилегии уже повышены. ВПО типа ransomware уверено, что у злоумышленника есть нужные привилегии. Расчет на то, что применение ransomware является завершающим этапом атаки, — поэтому встраивать механизмы повышения привилегий в него не требуется.

  5. Снизилась зависимость от сетевых соединений. Здесь действует, вероятнее всего, слияние двух факторов: первый — общая тенденция на автономную работу; второй — уход от распыления к таргетированности атак.

  6. Отсутствуют таймеры и screen locker, сохраняются обои рабочего стола, есть «дружелюбная» поддержка. Психологические приемы воздействия на жертву смещены в сторону подталкивания к «конструктивному решению проблемы». Приведу цитату из ransomnote:

    DO NOT PANIC! Yes, this is bad news, but we will have a good ones as well.

    YES, this is entirely fixable!

  7. Схемы шифрования стали более надежными. Используются «качественные» схемы — как с теоретической точки зрения, так и в вопросах программной реализации (кроме нейрослопов — в таких случаях могут возникнуть проблемы, и опытный хакер прибегать к этому не станет).

  8. Код генерируется с помощью AI. Новые акторы используют исходный код из публичных репозиториев и AI-генерацию кода для реализации функциональности.

  9. Возросла активность хактивистов, нового типа злоумышленников, атакующих информационные системы.

  10. Используется модель RaaS. Есть разделение труда — оно выражается в виде роста объема и качества услуг ransomware as a service.

  11. Выплачиваются рекордные выкупы.

Итак, мы разобрались с самыми популярными семействами шифровальщиков, нацеленного на вымогание: кто и как его распространяет, на кого оно направлено и что собой представляют векторы атак с его использованием.

В следующей статье поговорим о том, какие классы продуктов помогут справиться с нашествием шифровальщиков.

Stay tuned and safe!

В подготовке статьи участвовали специалисты антивирусной лаборатории Positive Technologies: Шаих Галиев, Александр Лаухин, Виталий Самаль, Валерий Слёзкинцев, Кирилл Шамко, Андрей Шандаков.