Исследовательская группа CYFIRMA выявила новую программу-вымогатель под названием Lyrix, которая представляет серьёзную угрозу для операционных систем Windows. Этот вредоносный инструмент отличается продвинутыми методами шифрования и сложными техниками обхода систем безопасности, что повышает уровень опасности для конечных пользователей и организаций.
Особенности программного обеспечения Lyrix
Lyrix разработан на Python и скомпилирован с помощью PyInstaller, что позволяет ему функционировать как автономный исполняемый файл со всеми необходимыми библиотеками.
Ключевые характеристики программы включают:
- Использование надежных алгоритмов шифрования файлов с присвоением уникального расширения .02dq34jROu.
- Сложные методы маскировки действий для обхода систем безопасности, основанных на правилах (rule-based security systems).
- Манипуляции с системными процессами для затруднения анализа вредоносной активности.
Методы уклонения и манипуляция процессами
Программа-вымогатель применяет несколько продвинутых техник для сокрытия своей деятельности:
- Мониторинг среды выполнения с помощью функции Windows API VirtualProtect — предотвращает заражение в виртуализированных средах.
- Использование функций GetCurrentProcess и TerminateProcess для контроля и повышения привилегий вредоносных процессов.
- Стратегическое применение функции Sleep для приостановки активности и избежания анализа в изолированных средах.
Целевая область шифрования
Lyrix ориентируется на важные пользовательские директории, в которых чаще всего находятся ценные данные:
- «Загрузки» (Downloads)
- «Музыка» (Music)
- «Документы» (Documents)
- «Рабочий стол» (Desktop)
- «Видео» (Videos)
- «Картинки» (Pictures)
После обнаружения целевых файлов они шифруются, что делает невозможным их восстановление без взаимодействия с злоумышленниками. Дополнительно программа-вымогатель оставляет на зараженной системе записку с требованием выкупа и угрозой раскрытия украденной информации в случае отказа.
Дополнительные меры блокировки восстановления данных
Для усиления своего воздействия Lyrix выполняет ряд действий, ограничивающих возможности восстановления пострадавших систем:
- Удаление всех теневых копий томов (shadow copies).
- Подавление системных сообщений о сбоях в процессе запуска.
- Отключение среды восстановления Windows (Windows Recovery Environment).
Мотивация и рекомендации по защите
Основная мотивация злоумышленников — получение финансовой выгоды путем вымогательства у жертв. В связи с этим эксперты рекомендуют придерживаться следующих мер кибербезопасности:
- Повышение уровня информированности пользователей о рисках использования небезопасного ПО.
- Внедрение комплексных решений для защиты конечных точек (endpoint security).
- Регулярное обновление систем и установка последних патчей безопасности.
Текущая активность и возможности обнаружения
Расследование инфраструктуры злоумышленников показало, что электронная почта, связанная с вымогательской запиской, была создана в апреле 2025 года. Это указывает на продолжающийся характер вредоносной кампании.
Для расширения возможностей обнаружения Lyrix можно использовать правила YARA, которые настроены на специфичные индикаторы программы-вымогателя, что повысит вероятность своевременного реагирования и выявления угрозы.
Заключение
Появление нового вымогателя Lyrix требует от специалистов по кибербезопасности постоянной бдительности и применения эффективных стратегий реагирования на инциденты. Только комплексный подход и своевременное обновление защитных мер смогут минимизировать потенциальный ущерб и сохранить целостность данных.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Lyrix: новая программа-вымогатель для Windows с продвинутыми методами обхода".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.