Исследовательская команда CYFIRMA обнаружила новое вредоносное ПО — Lyrix Ransomware, разработанное на языке Python и скомпилированное с помощью PyInstaller для запуска на Windows в виде самостоятельного исполняемого файла. Это позволило объединить все зависимости в один файл, облегчая распространение вируса. Lyrix использует мощное шифрование и уникальные методы уклонения от обнаружения, что делает его особенно опасным для систем и затрудняет удаление. Впервые его активность зафиксирована 20 апреля 2025 года.
По данным специалистов, программа маскирует вредоносное поведение, обходит сигнатурную защиту, шифрует пользовательские файлы и угрожает утечкой данных. Каждому зашифрованному файлу присваивается расширение «.02dq34jROu», а сами зашифрованные ключи сохраняются в системной директории ProgramData в виде файла с тем же именем. Расшифровать данные без приватного ключа злоумышленников невозможно.
Lyrix Ransomware запускается под видом файла Encryptor.exe (размер — 20,43 МБ) и использует стандартный формат Win32 EXE с заголовком «MZ». Он не подписан цифровой подписью, что дополнительно затрудняет его блокировку антивирусами . В момент заражения программа сканирует пользовательские директории — Загрузки, Документы, Рабочий стол, Изображения, Музыка и Видео — и выборочно шифрует файлы популярных форматов, таких как DOCX, PDF, XLS и JPG. При этом исполняемые файлы, библиотеки DLL и ярлыки не затрагиваются, чтобы не нарушить работу системы и избежать преждевременного обнаружения.
Для создания и хранения ключей шифрования Lyrix генерирует уникальный AES-ключ и шифрует его с помощью встроенного RSA-публичного ключа. После этого вирус удаляет все теневые копии системы, используя команды
vssadmin delete shadows /all /quiet
и
wmic shadowcopy delete,
чтобы заблокировать попытки восстановления данных. Затем он модифицирует загрузочную конфигурацию Windows, отключая системные сообщения об ошибках
(bcdedit /set {default} bootstatuspolicy ignoreallfailures)
и выключает среду восстановления Windows
(bcdedit /set {default} recoveryenabled no).
После завершения шифрования в каждом каталоге оставляется файл «Readme.txt» с инструкциями по выкупу. В сообщении утверждается, что данные были украдены и зашифрованы. Жертве предлагается расшифровать два файла бесплатно в качестве доказательства. Угроза обнародовать часть данных используется как дополнительный рычаг давления. Контактный адрес — ProtonMail, зарегистрированный в апреле 2025 года.
Технический анализ показал, что Lyrix использует целый арсенал антивиртуализационных и антианалитических техник, включая
VirtualProtect,Sleep,GetCurrentProcess,TerminateProcess,GetStartupInfoW,GetWindowLongPtrWShutdownBlockReasonCreate.
Всё это направлено на маскировку поведения и затруднение автоматического анализа. В рамках MITRE ATT&CK зафиксированы следующие техники: от запуска скриптов и внедрения процессов до сокрытия артефактов и манипуляции с учетными данными.
В рамках противодействия угрозе, специалисты рекомендуют:
- запретить запуск исполняемых файлов из временных директорий с помощью AppLocker или SRP;
- ограничить доступ к командам
vssadmin,wmic,bcdeditи другим системным утилитам; - усилить защиту электронной почты и фильтрацию вложений;
- использовать современные EDR-решения , отслеживающие массовое переименование или шифрование файлов;
- проводить регулярное обучение сотрудников, в том числе с использованием имитаций фишинговых атак;
- поддерживать актуальность планов реагирования на инциденты и регулярно их тестировать;
- изолировать заражённые системы сразу после выявления активности;
- сохранять артефакты для последующего анализа и не удалять зашифрованные файлы;
- не платить выкуп, так как это не гарантирует восстановления данных.
Дополнительно предлагается использовать YARA-правила и IoC, предоставленные CYFIRMA, для настройки систем обнаружения. Подчёркивается важность регулярных резервных копий на защищённых и отключённых от сети носителях.
С заботой о вашей безопасности, команда Origin Security
