GreenBlood: Go-вымогатель для Windows с двойным вымогательством

В недавнем отчёте описан новый семействo вредоносного ПО — GreenBlood ransomware. Это шифровальщик, реализованный на языке Go, который атакует Windows‑окружения, совмещая классическое шифрование файлов с угрозой утечки данных — то есть использует модель двойного вымогательства. Ниже — разбор его поведения, индикаторов компрометации и способов обнаружения с опорой на Wazuh, YARA и Sysmon.

Ключевые характеристики

• Язык реализации: Go — даёт высокую скорость выполнения и возможность параллельной обработки большого количества файлов.
• Модель атаки: двойное вымогательство: шифрование файлов + угроза публикации данных.
• Расширения зашифрованных файлов: .tgbg и .gblood.
• Имена заметок о выкупе: READ_ME_TO_RECOVER_FILES.txt или HOW_TO_RECOVER_FILES.txt, размещаемые в различных каталогах (например, «Документы», «Загрузки»).

Механизм вредоносных действий

GreenBlood выполняет комплекс операций для максимально эффективного нанесения ущерба и минимизации возможности восстановления:

• Шифрование файлов с добавлением указанных расширений.
• Создание и размещение файлов-указаний о выкупе (READ_ME_TO_RECOVER_FILES.txt, HOW_TO_RECOVER_FILES.txt).
• Отключение средств восстановления и резервирования с помощью системных утилит.
• Изменение параметров реестра для отключения защиты в реальном времени и брандмауэра Windows Defender.
• Выполнение скрипта очистки из временной папки для сокрытия следов после шифрования.

Команды и утилиты, используемые для разрушения защит

Для разрушения возможностей восстановления и снижения вероятности восстановления данных GreenBlood использует известные системные инструменты:

• bcdedit — подавление запросов на восстановление.
• vssadmin, wmic, wbadmin — удаление теневых копий и резервных копий.
• Изменения в системном реестре для отключения Windows Defender, брандмауэра и real‑time protection.

Индикаторы компрометации (IoC)

• Появление файлов с расширениями .tgbg или .gblood.
• Наличие файлов-указаний: READ_ME_TO_RECOVER_FILES.txt, HOW_TO_RECOVER_FILES.txt.
• Логи об использовании vssadmin, wmic или wbadmin для удаления теневых копий.
• Изменения параметров реестра, отключающие защиту Windows Defender и брандмауэр.
• Запуск скриптов очистки из временных каталогов после шифрования.

«Программа-вымогатель добавляет расширения .tgbg или .gblood и оставляет заметки с именами READ_ME_TO_RECOVER_FILES.txt или HOW_TO_RECOVER_FILES.txt в различных каталогах».

Обнаружение и защита: роль Wazuh, YARA и Sysmon

Обнаружение GreenBlood в отчёте описано через интеграцию нескольких инструментов мониторинга и реагирования:

• Wazuh — использует пользовательские правила для детектирования типичных проявлений: создание ransom‑notes, появление специфичных расширений, удаление системных резервных копий и изменение настроек восстановления.
• YARA — применяется для автоматического сканирования подозрительных файлов; при совпадении сигнатуры возможна автоматическая изоляция/удаление.
• FIM (File Integrity Monitoring) в Wazuh — отслеживает изменения в файловой системе, помогая оперативно выявлять появление зашифрованных файлов и модификации критичных файлов.
• Sysmon — обеспечивает детальный мониторинг событий, позволяя анализировать поведение процесса и привязать активности к детектам Wazuh.
• Модули активного реагирования Wazuh могут автоматически запускать проверку YARA при срабатывании правил, сокращая время реакции и уменьшая потенциальный ущерб.

Практические рекомендации

На основе поведения GreenBlood и возможностей детекции можно порекомендовать следующие шаги для повышения уровня защиты:

• Наладить регулярные и изолированные (offline) резервные копии и проверять их валидность.
• Внедрить и поддерживать EDR/AV‑решения с поддержкой YARA и интеграцией в SIEM/Wazuh.
• Активировать и настроить FIM‑мониторинг на ключевых каталогах и конфигурационных файлах.
• Собирать и анализировать Sysmon‑логи для раннего обнаружения подозрительного поведения процессов.
• Ограничить права пользователей и сервисов, минимизировать использование учётных записей с административными привилегиями.
• Обучать сотрудников и проводить регулярные упражнения по реагированию на инциденты.
• При обнаружении индикаторов компрометации изолировать заражённые узлы и задействовать процедуру реагирования на инциденты.

Вывод

GreenBlood ransomware — пример современного шифровальщика, который сочетает эффективность реализации на Go с методами, направленными на максимальное нарушение работы и усложнение восстановления. Комбинация Wazuh, YARA, FIM и Sysmon даёт организациям возможность быстро обнаруживать характерные для GreenBlood действия и уменьшать ущерб за счёт автоматизированных сценариев реагирования. Однако ключевым остаётся профилактика: корректная стратегия резервного копирования, ограничение привилегий и проактивный мониторинг.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "GreenBlood: Go-вымогатель для Windows с двойным вымогательством".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.