Привет! На связи — департамент киберразведки компании F6 c анонсом нашего нового исследования.

Мимикрия в кибербезопасности — обычное дело: злоумышленники маскируют вредоносную активность под обычные операции. Куда реже бывает наоборот, когда киберпреступники маскируют свои действия под более опасную угрозу.

В конце декабря 2025 года специалисты F6 Threat Intelligence в ходе ежедневного мониторинга угроз обнаружили подозрительный исполняемый файл (SHA1: 4e26bae10cb8be1ee9e41f124bc982e1510f9e89). На первый взгляд он выглядел как программа-вымогатель, которая может шифровать файлы и выводить на экран сообщение с требованием выкупа. Однако анализ показал, что это блокировщик, маскирующийся под шифровальщика. На самом деле вместо шифрования файлов он блокировал доступ к операционной системе. В сообщении было указано, что файлы и диски «зашифрованы … командой Legion», упоминания о которой ранее не встречались.

Программы-блокировщики, которые просто ограничивают доступ к системе, утратили популярность примерно с 2015 года, уступив место более прибыльным программам-вымогателям, которые шифруют файлы и позволяют злоумышленникам требовать выкуп за их расшифровку. Однако некоторые злоумышленники всё ещё используют блокировщики — вероятно, потому что такие программы легче создать, они дешевле и эффективнее для вымогательства мелких сумм у неопытных пользователей.

Аналитики F6 исследовали новую угрозу, изучили связанные с ней улики, включая записки, которые злоумышленники оставляли на устройствах жертв. И обнаружили кое-что интересное: анализ Telegram-аккаунтов, упоминаемых в записках, показал пересечения с киберпреступной группировкой NyashTeam.

Эта группа известна как минимум с 2022 года и занималась продажей ВПО в формате Malware-as-a-Service (MaaS). Клиенты группировки атаковали пользователей как минимум в 50 странах мира, большинство целей этих злоумышленников находились в России. Летом 2025 года специалисты F6 вскрыли инфраструктуру группировки, после чего были заблокированы более 110 доменов в зоне .RU, которые киберпреступники использовали для атак.

В этом блоге мы подробно рассмотрим особенности работы обнаруженного блокировщика, его распространения и выявленные пересечения с другими угрозами.

Анализ программы-блокировщика

Шакал, который притворяется акулой — такое сравнение вполне подходит для вредоносного программного обеспечения (ВПО), которое обнаружили специалисты департамента киберразведки F6. На первый взгляд эта программа — типичный вымогатель, который шифрует файлы и выводит на экран устройства записку с требованием выкупа.

Рис. 1 – Пример записки, которую видит жертва на устройстве
Рис. 1 – Пример записки, которую видит жертва на устройстве

В ходе анализа образца удалось установить PDB-путь файла — C:\Users\123quig\Desktop\Новая папка\obj\Release\net40\lc.pdb. Это косвенно свидетельствует о том, что разработчик вредоносной программы может быть русскоязычным.

Вредоносная программа содержит Anti-VM модуль для проверки факта выполнения ВПО в виртуальной среде или песочнице. Если проверка не пройдена, то будет отображена ошибка и завершено выполнение.

Для проверки среды Anti-VM модуль выполняет следующие действия:

  • сравнивает имя целевого ПК с «VPS», «VPS»; а имя производителя со значениями «microsoft corporation», «VIRTUAL», «vmware», «VirtualBox»;

  • проверяет факт запуска при помощи утилиты Sandboxie по известным именам подгруженных dll;

  • проверяет факт запуска на песочнице AnyRun через проверку наличия определённых программ (браузеры, медиаплееры и т. п.) на рабочем столе; проверку роли пользователя и имени компьютера.

Для закрепления в системе используются следующие ключи реестра:

  • [SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] «MSEdgeUpdateX»=%PATH_TO_EXE%

  • [SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] «WindowsInstaller»=»%PATH_TO_EXE%» -startup

  • [SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce] «OneDrive10293″=»%PATH_TO_EXE%» /setup

  • [SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce] «System3264Wow»=»%PATH_TO_EXE%» —init

  • [SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce] «System3264Wow»=»%PATH_TO_EXE%» —wininit

  • [SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon] «Shell»=%PATH_TO_EXE%

  • [SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RunMRU] «a»=»YOU ARE HACKED!\1»

  • [SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RunMRU] «b»=»HAHAHAHAHAHAHA\1»

  • [SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RunMRU] «c»=»BIBOAN.com\1»

  • [SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RunMRU] «MRUList»=»abc»

ВПО создает файлы записок (пример представлен на рис. 2) следующей командой:

cmd.exe /c cd «%DIR%&attrib +h +s +r +i /D & echo [%RANDOM%] Ooops! Your files are encrypted by the KVM-i7! Telegram for contact: @nyashteam*** 1>info-Locker.txt & attrib -h +s +r info-Locker.txt

Рис. 2 – Пример записки, генерируемой вредоносной программой
Рис. 2 – Пример записки, генерируемой вредоносной программой

Блокировщик перечисляет все диски от D и далее и создает файл info-Locker.txt в их корне, если диск существует.

На финальном этапе ВПО отображает окно с якобы загрузкой ОС и ошибками. Но как оказалось, это всего лишь замаскированное пользовательское окно. Никакой перезагрузки или шифрования не происходит.

ВПО блокирует доступ к ПК и возможность управления им, выполняя следующие действия:

  • перехватывает нажатие комбинаций клавиш (Ctrl+Alt, Ctrl+Alt+Del), предназначенных для перезагрузки или вызова диспетчера задач, и блокирует ОС (Win+L) при попытке их нажатия;

  • перехватывает нажатие комбинации клавиш (Alt+F4), предназначенной для закрытия основного окна приложения.

При выполнении задач блокировщик генерирует ID компьютера формата 10-A*, основываясь на содержимом файла %Temp%\$unlocker_id.ux-cryptobytes, в котором сохранено локальное время запуска ВПО. В качестве кода разблокировки ПК используется строка следующего формата:

nyashteam***0c0v11+время запуска ВПО (или первые 6 символов ID компьютера после подстроки 10-A)

После ввода верного кода приложение удаляется из автостарта и завершает работу. Расшифрования каких-либо файлов не происходит.

Дополнительное исследование показало, что это ВПО применяется минимум с 2022 года. Файл с аналогичными индикаторами (закрепление в тех же ключах реестра и использование идентичных команд) был загружен на одну из публичных песочниц в июле 2022 года. Однако записки, которые отображались на устройствах, отличаются. Вместо Legion злоумышленники выдавали себя за CryptoBytes hacker group, а в качестве контакта указывали Telegram-аккаунт @yes_u_are_hacked:

Ой! Ваши файлы зашифрованы хакерской группой CryptoBytes! Telegram для связи: @yes_u_are_hacked

Также был найден сэмпл от 2023 года с другой запиской (SHA256: d10f3aa9028e0c9f0c6bb1b0611ee3fcef1d089d428f94dc5959756f0b421250):

Your files are encrypted by the UI-Load hacker group! Telegram for contact: @chyd11k

Исследуемое ВПО в 2022 году продавалось на GitHub (winlocker-site[.]github[.]io).

Рис. 3 – Cкриншот о продаже ВПО на GitHub
Рис. 3 – Cкриншот о продаже ВПО на GitHub

При нажатии кнопки «PURCHASE» пользователя перенаправляют на страницу продавца с аккаунтом @Haskers***, а при обращении к сайту winlocker-site[.]github[.]io происходит перенаправление на winlocker[.]ru.

Рис. 4 – Скриншот сайта winlocker[.]ru
Рис. 4 – Скриншот сайта winlocker[.]ru

С этого началось наше новое исследование. Куда привели цифровые следы, подробности, индикаторы компрометации — в новом блоге на сайте F6.