Spectra: новая угроза в мире программ-вымогателей
С апреля 2025 года специалисты по кибербезопасности отмечают активность новой программы-вымогателя Spectra, которая произошла от уже известных семейств Chaos, включающих Yashma и Blacksnake. Этот вредоносный софт нацелен преимущественно на системы под управлением Windows и представляет собой двойную угрозу – он не только шифрует файлы на зараженном устройстве, но и крадет конфиденциальные данные.
Как работает Spectra
После запуска Spectra незамедлительно приступает к шифрованию всех доступных файлов, одновременно отправляя жертве требование о выкупе в файле SPECTRARANSOMWARE.txt. В тексте злоумышленники требуют выплату в размере $5000 в биткоинах в течение 72 часов.
- Программа реализована как 32-битный исполняемый файл, созданный с использованием Microsoft Visual Studio .NET.
- Использует метод forbiddenCountry для проверки языка ввода: если обнаруживается, что компьютер находится в Азербайджане или Турции, выполнение программы прекращается.
- Обнаруживает собственное выполнение с помощью GetProcess API и завершает работу, если уже запущена на системе.
Механизмы сокрытия и блокировки
Spectra пытается избежать обнаружения, копируя себя под именем svchost.exe в профиле пользователя, чтобы маскироваться под легитимный процесс Windows. Для ограничения возможностей пользователя по вмешательству в работу вредоносного ПО используется модуль DisableTaskManager, который блокирует запуск Диспетчера задач, устанавливая для него значение «1».
Особенности шифрования
Программа систематически сканирует все доступные диски, избегая при этом шифрования общих системных папок, чтобы минимизировать риск нарушения стабильности системы. Это достигается с помощью фильтрации каталогов, проверяющей известные пути к важным системным файлам. Такая стратегия снижает вероятность повреждения критически важных компонентов ОС.
- Для шифрования Spectra использует гибридный алгоритм AES-RSA, обеспечивающий надежную криптографическую защиту.
- Файлы объемом более 1,79 ГБ не подвергаются традиционному шифрованию, а их содержимое заменяется символами «?» из соображений оптимизации.
- Обработка файлов происходит параллельно, что ускоряет процесс атаки.
- В каталоги с зашифрованными файлами копируется уведомление с требованием выкупа.
Визуальные изменения и финальные шаги
После завершения шифрования Spectra изменяет внешний вид интерфейса зараженной системы, чтобы подчеркнуть серьезность угрозы и психологически воздействовать на пользователя.
Заключение
Spectra – это продвинутая и хорошо организованная программа-вымогатель, сочетающая в себе технологии эффективного шифрования и сложные методы уклонения от обнаружения. Ее способность проверять локацию, скрываться под легитимными процессами и блокировать средства противодействия делает ее заметной угрозой в сфере кибербезопасности.
Осведомленность и своевременные превентивные меры остаются ключевыми факторами в защите от подобных атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ Spectra: новая угроза программ-вымогателей в 2025 году".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.