В последние недели в мире киберпреступности набирает обороты новая и быстро распространяющаяся программа ransomware‑as‑a‑service (RaaS) под названием VanHelsingRaaS. Запущенный 7 марта 2025 года, этот сервис уже продемонстрировал свой стремительный рост и смертоносный потенциал, заразив трех жертв всего за две недели после своего появления. Партнеры с хорошей репутацией могут присоединиться к программе бесплатно, в то время как новые партнеры должны заплатить депозит в размере $5 000, чтобы получить доступ к программе. После двух блокчейн‑подтверждений оплаты выкупа жертвы аффилированные лица получают 80% дохода, а остальные 20% выплачиваются операторам RaaS. Партнерам предоставляется простая в использовании панель управления для управления атаками и кроссплатформенный локер VanHelsing, который нацелен на широкий спектр систем, включая «Windows, Linux, BSD, ARM и ESXi системы».
Такая многоплатформенная поддержка значительно расширяет сферу действия ransomware, позволяя атаковать самые разные системы. В дополнение к локеру филиалам предоставляется специальная панель управления, которая облегчает управление и проведение кампаний по рассылке ransomware. Однако есть одно важное правило: шифрование систем в странах СНГ (Содружества Независимых Государств) строго запрещено, что является типичным поведением, наблюдаемым в российской киберпреступности.
Менее чем за две недели с момента своего появления в киберпреступном сообществе этот RaaS уже заразил трех жертв, требуя крупный выкуп за расшифровку и удаление украденных данных. В ходе переговоров они потребовали 500 000 долларов, которые должны были быть перечислены на указанный Bitcoin‑кошелек.
VanHelsing Ransomware
Программа‑вымогатель, связанная с VanHelsing RaaS, была впервые обнаружена 16 марта 2025 года. Она написана на C++, и, судя по временной метке компиляции, образец был развернут в тот же день против первой жертвы, ставшей объектом атаки этой партнерской группы. Программа принимает несколько аргументов командной строки, которые управляют процессом шифрования, например, шифровать ли сетевые и локальные диски или определенные каталоги и файлы. Судя по всему, эта программа находится на ранних стадиях разработки, поскольку некоторые ее функции выглядят неполными. Хотя сообщения в журнале о наличии этих функций присутствуют, фактические действия, связанные с ними, на данном этапе, похоже, не реализованы.
Записка с выкупом, сброшенная в виде файла README.txt в каждую из перечисленных папок, сообщает жертве, что ее сеть была взломана, а личные данные, финансовые отчеты и важные документы зашифрованы. Злоумышленник требует биткойны за восстановление файлов, предупреждая, что использование сторонних расшифровщиков приведет к безвозвратной потере данных. Они предупреждают, что их шифрование не поддается взлому и что уплата выкупа — единственный способ восстановить файлы. Записка заканчивается предложением связаться со злоумышленником.
Вымогатель содержит два встроенных изображения, которые помещаются в папку C:\Windows\\Web. Файл vhlocker.png используется для замены фона рабочего стола жертвы логотипом RaaS, а vhlocker.ico предназначен для привязки зашифрованных файлов, имеющих расширение.vanlocker, к типу файлов.ico. Однако это недостаток вымогательской программы. На самом деле зашифрованные файлы имеют расширение.vanhelsing, а не.vanlocker, что означает, что файл.ico не связан с зашифрованными файлами должным образом.
Исполняемый файл ransomware по‑прежнему содержит путь к файлу PDB, который предоставляет некоторую информацию о среде разработки. Путь к файлу PDB включает в себя путь разработки и название проекта, связанного с вредоносной программой, что позволяет отследить другие проекты, разработанные тем же автором.
В данном конкретном случае файл PDB расположен по следующему пути:
C:\Users\ADMINI~1\AppData\Local\Temp\2\cd9563b4cbc415b3 920 633b93c0d351b\1-locker\Release\1-locker.pdb
В результате поиска Check Point Research обнаружила два дополнительных файла: второй вариант вымогательского ПО VanHelsing, скомпилированный 11 марта 2025 года, который содержит отличия по сравнению с обновленной версией от 16 марта. Второй файл, идентифицированный по пути к PDB, представляет собой исполняемый файл, который загружает в память встроенный двоичный файл. Однако буфер, связанный с этим исполняемым файлом, не содержит корректных данных, что делает загрузчик неэффективным.
Технический анализ
Аргументы командной строки
VanHelsing Ransomware поддерживает множество аргументов командной строки, что позволяет злоумышленникам точно настроить процесс шифрования в зависимости от своих целей. Эти аргументы определяют различные аспекты поведения ransomware, включая выбор цели, параметры выполнения и скрытные функции. Ниже перечислены поддерживаемые аргументы:
‑h, Отображает список поддерживаемых аргументов командной строки и инструкции по использованию VanHelsing Ransomware.‑v, Выводит все логи во время выполнения, предоставляя подробную информацию для отладки или мониторинга действий ransomware.‑no‑logs, Подавляет вывод логов во время выполнения ransomware.‑Driver $DRIVER, Указывает целевой диск для шифрования, позволяя программе‑вымогателю зашифровать все файлы и папки на выбранном диске.‑Directory $DIRECTORY, Указывает целевую папку для шифрования, позволяя программе‑вымогателю зашифровать все файлы и вложенные папки в выбранной папке.‑File $FILE, Указывает отдельный файл для шифрования.‑Force, Позволяет запускать несколько экземпляров вымогательской программы одновременно. Если флаг отсутствует, программа пытается создать мьютекс «Global\VanHelsing», прерывая выполнение, если он уже существует. Это гарантирует, что одновременно может быть запущен только один экземпляр без этого флага.‑no‑priority, Если флаг не установлен, вредоносная программа повышает приоритет своего процесса, заставляя систему отдавать предпочтение выполнению ransomware перед другими процессами.‑no‑wallpaper, Если этот флаг установлен, вредоносная программа не будет менять фоновое изображение рабочего стола.‑no‑local, Если этот флаг установлен, ransomware не будет шифровать локальные файлы на машине, ограничивая атаку сетевыми дисками, удаленными системами или определенными каталогами.‑no‑mounted, Этот флаг гарантирует, что программа‑вымогатель шифрует только фиксированные локальные диски (основной жесткий диск, (DRIVE_FIXED)) и исключает любые удаленные или подключенные диски, такие как общие сетевые ресурсы или внешние устройства хранения данных.‑no‑network, Если этот флаг установлен, ransomware не будет шифровать сетевые диски, а сосредоточится только на локальных дисках или других указанных целях.‑no‑admin, Позволяет ransomware запускаться, даже если процесс не запущен с правами администратора.‑Silent, Бесшумный режим работы ransomware; позже мы расскажем об этой функции более подробно. Например, у файлов на сетевых ресурсах, зашифрованных в этом режиме, не будет изменено расширение.‑skipshadow, При указании этой команды ransomware пропускает удаление теневых копий, в результате чего резервные копии системы могут остаться нетронутыми.‑spread‑smb, Позволяет распространять ransomware на SMB‑серверы путем копирования и выполнения ransomware с сетевых ресурсов.‑spread‑vcenter, Пока не реализована, но, вероятно, указывает на то, что вредоносная программа будет поддерживать функцию распространения через сервер vCenter. vCenter — это платформа централизованного управления средами VMware vSphere, часто используемая для управления виртуализированной инфраструктурой. Эта функциональность, по‑видимому, представляет собой вставку для логики, которая будет добавлена позже, возможно, с использованием эксплойтов. Однако в настоящее время вредоносная программа просто завершает работу при задании этого аргумента.‑no‑autostart, Пока не реализовано, но, возможно, если этот аргумент не задан, вымогатель не будет настраивать себя на автоматический запуск при загрузке системы.‑system, который еще не реализован. В настоящее время он просто печатает «Running as a system», когда установлен аргумент verbose logging (‑v).
Мы проанализировали два образца VanHelsing Ransomware, скомпилированных с разницей в пять дней, судя по временным меткам. В последней версии появились новые аргументы и функции командной строки. Это говорит о том, что вредоносная программа активно обновляется, и новые аргументы, скорее всего, появятся в будущих версиях.
Удаление теневых копий
Теневые копии — это резервные копии файлов или томов, созданные службой теневого копирования томов Windows (VSS), которые часто используются для восстановления файлов или после сбоев в системе. Ransomware удаляет теневые копии, чтобы жертвы не смогли восстановить свои зашифрованные файлы с помощью встроенных в Windows механизмов резервного копирования. Удаляя эти резервные копии, злоумышленники увеличивают вероятность того, что жертвам придется заплатить выкуп за восстановление файлов.
Во вредоносном бинарном файле функция, отвечающая за удаление теневых копий, начинает с инициализации Component Object Model (COM) с помощью CoInitializeEx и CoInitializeSecurity, обеспечивая взаимодействие со службами управления системой. Затем она определяет архитектуру системы с помощью GetNativeSystemInfo, после чего создает экземпляр соответствующего COM‑объекта с помощью CoCreateInstance, обеспечивая совместимость с целевой средой.
Вредоносная программа подключается к пространству имен ROOT\\CIMV2 и выполняет WMI‑запрос для получения всех теневых копий, хранящихся в локальной системе, используя класс Win32_ShadowCopy. Это позволяет вредоносной программе получить доступ к теневым копиям и управлять ими. Затем перечисляет полученные теневые копии и создает дочерние процессы, которые удаляют их по идентификатору тени.
"cmd.exe /c C:\\Windows\\System32\\wbem\\WMIC.exe shadowcopy where \”ID='%s'\” delete"
Перечисление локальных дисков
Процедура локального шифрования требует получения данных о существующих дисках. Сначала она вызывает функцию GetLogicalDriveStringsW(0, 0), которая возвращает размер буфера для строк логических дисков. Затем она снова вызывает функцию с правильным размером буфера, получая буфер со строками, указывающими на действительные диски в системе.
После того как все диски на машине определены, программа перечисляет их, выбирая только фиксированные локальные диски и подключенные диски, если только не выполняется с аргументом -no-mounted, в этом случае подключенные диски исключаются из шифрования.
В дальнейшем программа рекурсивно перечисляет и шифрует все файлы и папки на выбранных дисках, обеспечивая полное шифрование данных на всех целевых хранилищах.
Файлы и папки, внесенные в черный список
Программа начинает процесс шифрования с перечисления папок и файлов с помощью функций Windows API FindFirstFileW, FindNextFileW и FindClose. Чтобы не вывести систему из строя, она выборочно исключает из процесса шифрования определенные папки, файлы и расширения файлов, гарантируя, что критически важные компоненты системы останутся нетронутыми.
Файлы, содержащиеся в перечисленных ниже папках, исключены из шифрования:
“tmp”, “winnt”, “temp”, “thumb”, “$Recycle.Bin”, “$RECYCLE.BIN”, “System Volume Information”, “Boot”, “Windows”, “Trend Micro”, “program files”, “program files(x86)”, “tor browser”, “windows”, “intel”, “all users”, “msocache”, “perflogs”, “default”, “microsoft”
Нижеперечисленные расширения и файлы исключены из числа зашифрованных по разным причинам, в основном из‑за того, что они критически важны для работы Windows:
“.vanlocker”, “.exe”, “.dll”, “.lnk”, “.sys”, “.msi”, “boot.ini”, “autorun.inf”, “bootfont.bin”, “bootsect.bak”, “desktop.ini”, “iconcache.db”, “ntldr”, “ntuser.dat”, “ntuser.dat.log”, “ntuser.ini”, “thumbs.db”, “GDIPFONTCACHEV1.DAT”, “d3d9caps.dat”, “LOGS.txt”, “README.txt”, “.bat”, “.bin”, “.com”, “.cmd”, “.386”, “.adv”, “.ani”, “.cab”, “.ico”, “.mod”, “.msstyles”, “.msu”, “.nomedia”, “.ps1”, “.rtp”, “.syss”, “.prf”, “.deskthemepack”, “.cur”, “.cpl”, “.diagcab”, “.diagcfg”, “.diagpkg”, “.dll”, “.drv”, “.hlp”, “.pdb”, “.hta”, “.key”, “.lock”, “.ldf”, “.ocx”, “.icl”, “.icns”, “.ics”, “.idx”, “.mod”, “.mpa”, “.msc”, “.msp”, “.nls”, “.rom”, “.scr”, “.shs”, “.spl”, “.theme”, “.themepack”, “.wpx”
Ошибка, похожая на ту, что была упомянута ранее в отношении ассоциации файлов.ico, встречается в черном списке исключенных расширений файлов. Вымогатель по ошибке исключает из шифрования файлы.vanlocker, хотя на самом деле зашифрованные файлы используют расширение.vanhelsing. Эта оплошность означает, что при запуске второго экземпляра программы‑вымогателя она может снова зашифровать уже зашифрованные файлы, что приведет к двойному шифрованию.
Перечисление сетевых дисков
По умолчанию программа пытается зашифровать все подключенные сетевые диски, если не указан аргумент командной строки -no-network. Функция, отвечающая за шифрование сетевых дисков, выполняется в отдельном потоке.
Первоначально получает имя локального хоста и соответствующий ему IP‑адрес, а затем переходит к сканированию диапазона IP‑адресов [1–255]. Для каждого IP‑адреса в локальной сети поток попытается подключиться к порту 445, определяя, на каких машинах в локальной сети запущен SMB.
Для каждого запущенного SMB‑сервера программа‑вымогатель вызывает NetShareEnum и строит сетевой путь для доступа к общему ресурсу на удаленной машине. Затем программа продолжит перечисление папок и файлов, после чего начнется шифрование. Стоит отметить, что в «тихом» режиме сетевые ресурсы будут зашифрованы без изменения расширения на.vanhelsing.
Распространение и шифрование по SMB
Если ransomware выполняется с аргументом командной строки -spread-smb, она по‑прежнему шифрует сетевые ресурсы, но подход отличается от описанного выше. Ransomware содержит встроенный двоичный файл psexec.exe, который помещается в папку Temp. Как и в случае с сетевым шифрованием, вредоносная программа сканирует SMB‑доли и пытается определить, есть ли у них права на запись. Сетевые ресурсы, содержащие NETLOGON или sysvol, исключаются из шифрования, поскольку их шифрование может нарушить аутентификацию пользователя.
VanHelsing locker скопирует себя в сетевой ресурс под именем $SHARE\\vanlocker.exe. Запуск файла psexec.exe запустит процесс ransomware на сетевом ресурсе, который затем приступит к шифрованию файлов. Программа‑вымогатель на общем ресурсе будет выполняться без шифрования смонтированных или других сетевых ресурсов. Ниже приведены аргументы для выполнения:
cmd.exe /c $TEMP/psexec.exe ‑accepteula \\\\$SHARE ‑c ‑f $SHARE\\vanlocker.exe ‑d ‑no‑mounted ‑no‑network < NUL
Режим бесшумного шифрования
Чтобы избежать срабатывания флагов обнаружения, добавленных в последней версии, вымогатель включает аргумент командной строки -Silent. Когда этот флаг указан, вымогатель разделяет свою функциональность на две части.
Во время выполнения «Обычного» режима ransomware:
Перечисляет папки.
Перечисляет файлы.
Шифрует файлы.
Переименовывает файлы с расширением ransomware
В «тихом» режиме вымогатель временно пропускает этап переименования файлов (шаг 4). После того как все файлы будут зашифрованы, она снова перечисляет папки и файлы, на этот раз исключительно для переименования файлов с расширением ransomware.
Перечисляет папки.
Перечисляет файлы.
Шифрует все файлы.
Машина зашифрована.
Перечисление папок.
Перечисляет файлы.
Переименовывает файлы с расширением ransomware.
Под капотом вредоносная программа реализует это, заставляя процедуру шифрования принимать аргумент, указывающий Normal или Silent operation. Они не совсем соответствуют тому, установлен ли флаг CLI: Silent только переименовывает файлы (добавляя расширение.vanhelsing) без шифрования, тогда как Normal шифрует и переименовывает файлы, но пропускает переименование, если установлен флаг ‑silent. Выполнение без ‑silent осуществляется простым запуском Normal, а выполнение с ‑silent осуществляется сначала запуском Normal (который теперь пропускает переименование файлов), а затем запуском Silent.
Когда функции передается аргумент Silent, она отвечает только за добавление расширения ransomware и ничего больше. До этого та же функция выполнялась с флагом Normal, который отвечал за шифрование.
В бесшумном режиме ransomware проходит этот двухэтапный процесс, прежде всего для того, чтобы избежать обнаружения и обойти меры безопасности, такие как поведенческое обнаружение.
Шифрование файлов
Вымогатель содержит открытый ключ Curve25 519, встроенный в код. Для каждого зашифрованного файла генерируются два случайных эфемерных значения размером 32 байта и 12 байт, которые используются в качестве ключа и nonce для шифрования файлов с помощью алгоритма ChaCha20. Они, в свою очередь, шифруются с помощью открытого ключа, а результат форматируется в шестнадцатеричный формат для хранения в файле.
Если размер файла составляет примерно 1 ГБ (0×3E800 000 байт) или больше, программа-вымогатель зашифрует только первые 30 % содержимого файла, начиная с самого начала. Если размер файла меньше, будет зашифрован весь файл. Содержимое шифруется фрагментами размером около 1 МБ (0×100 000 байт).
Структура зашифрованных файлов VanHelsing Ransomware:
‑‑key‑‑$KEY_HEX‑‑endkey‑‑‑nonce‑‑$NONCE_HEX‑‑endnonce‑$ENCRYPTED_CHUNKS
Если флаг -Silent не установлен, расширение файла ransomware добавляется немедленно. В противном случае, когда все файлы будут зашифрованы, они будут перечислены снова, и расширение будет изменено.
Заключение
VanHelsingRaaS, быстро развивающаяся программа ransomware‑as‑a‑service, запущенная в марте 2025 года, быстро заняла свое место в киберпреступном ландшафте. Предложение доступной точки входа для аффилиатов с низким депозитом привлекло широкий круг участников. О росте программы свидетельствует эволюция ее вариантов ransomware, которые вышли за пределы Windows, предлагая дополнительные предложения для «Linux, BSD, ARM и ESXi систем». Благодаря удобной панели управления и частым обновлениям VanHelsing становится мощным инструментом для киберпреступников. Всего за две недели после запуска он уже успел нанести значительный ущерб, заразив множество жертв и потребовав значительные выкупы. Такая быстрая эскалация подчеркивает эффективность программы и эволюционирующую природу угроз ransomware, подчеркивая необходимость надежных мер кибербезопасности для борьбы с такими сложными атаками.
Индикаторы компрометации
Описание | Значение |
|---|---|
VanHelsing Ransomware | 79 106dd259ba5 343 202c2f669a0a61b10adfadffe683bfaeb1a695ff9ef1759cf1944fa3bb3b6948 |
Loader | 4211cec2f905b9c94 674a326 581e4a5ae0599df9 |
Negotiation Onion Pages | vanhelcbxqt4tqie6fuevfng2bsdtxgc7xslo2yo7nitaacdfrlpxnqd.onionvanhelqmjstkvlhrjwzgjzpq422iku6wlggiz5y5r3rmfdeiaj3ljaid.onion vanhelsokskrlaacilyfmtuqqa5haikubsjaokw47f3pt3uoivh6cgad.onion vanheltarnbfjhuvggbncniap56dscnzz5yf6yjmxqivqmb5r2gmllad.onion |
RaaS Onion Pages | vanhelvuuo4k3xsiq626zkqvp6kobc2abry5wowxqysibmqs5yjh4uqd.onionvanhelwmbf2bwzw7gmseg36qqm4ekc5uuhqbsew4eihzcahyq7sukzad.onionvanhelxjo52qr2ixcmtjayqqrcodkuh36n7uq7q7xj23ggotyr3y72yd.onion |
Bitcoin Wallet | bc1q0cuvj9eglxk43v9mqmyjzzh6m8qsvsanedwrru |
TOX | FEE914 521FB507AB978 107ACE3B69B4CA41DA89 859 408BAE23E1512E8C2E614A26C5FFD482A3 |
