Программа-вымогатель LCRYX, впервые появившаяся в ноябре 2024 года, снова вновь активировалась в феврале 2025 года, продолжая наносить ущерб пользователям. Реализованная на VBScript, эта вредоносная программа шифрует файлы с расширением .lcryx и требует выкуп в размере 500 долларов в биткоинах за расшифровку. Технический анализ показывает многоуровневые тактики, используемые для повышения устойчивости и контроля над зараженной системой.
Методы воздействия
LCRYX вносит значительные изменения в реестр Windows, блокируя действия пользователя. Среди воздействия программы можно выделить:
- Отключение диспетчера задач, командной строки и редактора реестра;
- Ограничение доступа к панели управления;
- Отключение настроек контроля учетных записей пользователей (UAC);
- Отключение таймаута бездействия для предотвращения блокировки системы;
- Блокировка специальных утилит, таких как msconfig.exe и Autoruns.exe.
Персистентность и контроль
Для обеспечения своей постоянности LCRYX настраивает вредоносный скрипт как оболочку по умолчанию, что позволяет ему автоматически запускаться при входе пользователя в систему. Также программа устанавливает его в качестве отладчика для cmd.exe, что гарантирует, что он запускается при каждом обращении к командной строке.
Кроме того, программа изменяет реестр для обработки HTTP и HTTPS ссылок, что позволяет запускать скрипт при переходе по ссылкам и спасает контроль над действиями пользователя.
Атака на системные процессы
Хакеры используют инструментарий управления Windows (WMI) для завершения критически важных системных процессов, таких как Taskmgr.exe и regedit.exe, что эффективно мешает пользователям управлять программой-вымогателем или уничтожить её.
Усложнение взаимодействия
LCRYX также затрудняет взаимодействие с пользователем, изменяя параметры ввода с клавиатуры и кнопки мыши. Атрибуты файлов меняются на скрытые, системные и только для чтения, тем самым усложняя их обнаружение и модификацию.
Подрыв безопасности
Одной из самых опасных возможностей LCRYX является способность выполнять команды PowerShell, перезаписывающие главную загрузочную запись (MBR) дисков, что потенциально может нарушить процесс загрузки системы.
Чтобы избежать обнаружения, программа отключает мониторинг основных антивирусных программ в режиме реального времени, таких как Защитник Windows и Антивирус Касперского, выполняя специальные команды для деактивации их защиты.
Удаление резервных копий
LCRYX также нацелен на системные папки и удаляет файлы резервных копий с расширениями .bak и .old, а также удаляет теневые копии и каталоги резервных копий с помощью команд vssadmin и wbadmin, что затрудняет процесс восстановления.
Защита от вмешательства
Скрипт проекта создает постоянные пакетные файлы, которые работают в цикле, выполняя команды, запускающие безопасные приложения, такие как калькулятор, или создающие подключения к вредоносным URL-адресам. Также имеется версия скрипта, которая каждые пять секунд отключает критически важные приложения, включая антивирусные, что обеспечивает безопасность вредоносной активности.
С учетом всех вышеуказанных методов и техник, LCRYX представляет собой серьезную угрозу для пользователей и систем, требуя пристального внимания со стороны специалистов по кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Проблема программ-вымогателей: Угроза LCRYX 2025 года".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.