⚡️Шифрование и шантаж: как Vgod захватывает данные пользователей Windows
⚡️Шифрование и шантаж: как Vgod захватывает данные пользователей Windows
💬 Исследователи CYFIRMA обнаружили новую угрозу в киберпространстве — вирус-вымогатель Vgod, активно распространяющийся на подпольных хакерских форумах. Этот вредоносный код нацелен на операционные системы Windows, где он применяет сложные методы шифрования и добавляет к зашифрованным файлам уникальное расширение «.Vgod».
После проникновения на устройство вирус мгновенно шифрует данные, а затем оставляет на рабочем столе жертвы записку под названием «Decryption Instructions.txt» с требованиями злоумышленников. Одновременно с этим изменяется фон рабочего стола, чтобы привлечь внимание жертвы. В тексте уведомления упоминается не только факт блокировки файлов, но и кража конфиденциальной информации с последующей угрозой её публикации, что свидетельствует о применении тактики двойного вымогательства.
Анализ поведения Vgod указывает на его сложные механизмы уклонения от обнаружения. Он использует DLL Sideloading для обхода защитных механизмов, инъекции процессов, а также манипуляции с системным реестром. Среди зафиксированных тактик присутствует маскировка, проверка среды на наличие виртуальных машин и песочниц, а также загрузка вредоносного кода до этапа загрузки ОС, что делает его особенно устойчивым к удалению.
Эксперты CYFIRMA идентифицировали используемые угрозой методы по классификации MITRE ATT&CK, включая:
Выполнение через PowerShell (T1059.001), API Windows (T1106) и DLL-модули (T1129);
Устойчивость за счёт внедрения в загрузочные процессы (T1542.003) и подмены DLL-библиотек (T1574.002);
Повышение привилегий через инъекции процессов (T1055) и обход механизмов контроля доступа (T1548);
Избегание обнаружения благодаря скрытым файлам, шифрованию, изменению системных параметров (T1014, T1036, T1112);
Доступ к учётным данным через дамп паролей Windows (T1003) и анализ файлов конфигурации (T1552.001);
Сбор информации о системе, запущенных процессах и установленных приложениях (T1010, T1082, T1518.001);
Вывод данных через зашифрованные каналы (T1573) и нестандартные протоколы (T1095);
Влияние на систему за счёт шифрования данных (T1486) и использования вычислительных ресурсов жертвы (T1496).
Согласно наблюдениям, злоумышленники взаимодействуют с жертвами через электронную почту, где, вероятно, и предоставляются дальнейшие инструкции для перевода выкупа.
Для защиты от подобных атак специалисты рекомендуют внедрение принципов Zero Trust, использование многофакторной аутентификации и регулярное обновление систем. Важно также регулярно создавать резервные копии данных, что позволит быстро восстановить информацию без необходимости вести переговоры с вымогателями.
Vgod напоминает: киберпреступники постоянно совершенствуют свои инструменты, поэтому и защита должна не отставать. Без системного подхода к безопасности каждый файл — это потенциальный заложник.