В мире киберугроз стирание граней между различными классами вредоносного программного обеспечения становится всё более распространённым явлением. Последним тревожным примером служит программа Tranium, внешне имитирующая типичную программу-вымогатель, но фактически являющаяся полноценным уничтожителем данных (wiper), который приводит систему в состояние, не подлежащее восстановлению. Этот инцидент вскрывает критическую проблему ложной классификации угроз ведущими производителями средств защиты, что может вводить в заблуждение специалистов по безопасности при анализе инцидентов.
Описание
Tranium представляет собой исполняемый файл размером 6 МБ, написанный на языке Go и скомпилированный с помощью версии 1.26.0, выпущенной в феврале 2026 года. Исходный файл, как указывается в аналитическом отчёте, носит красноречивое название "wiper.go" ("стиратель"), что прямо указывает на истинную природу угрозы. Программа демонстрирует высокий уровень сложности, координируя выполнение 29 функций в строгой последовательности, которая гарантирует максимальные разрушения.
Ключевая особенность Tranium заключается в порядке операций. Вредоносная программа начинает свою работу с уничтожения всех возможностей для восстановления системы. Она удаляет теневые копии (shadow copies) через "vssadmin", отключает восстановление загрузчика с помощью "bcdedit" и блокирует функцию "Восстановление системы" через реестр. Только после этого она приступает к критически важным деструктивным действиям. Основной загрузочной записей (MBR) перезаписывается на первых трёх физических дисках, что делает невозможным запуск операционной системы. Затем следует целенаправленная порча свыше 30 системных файлов, включая ключевые компоненты цепочки загрузки ("bootmgr", "winload.exe", "ntoskrnl.exe"), драйверы файловой системы ("ntfs.sys") и, что наиболее важно, файлы кустов реестра ("SAM", "SYSTEM", "SOFTWARE"). Без этих компонентов Windows не может функционировать.
Лишь на финальном этапе, когда система уже обречена, Tranium запускает процедуру шифрования файлов пользователя с использованием алгоритма AES в режиме CBC. Ключ генерируется криптографически стойким генератором и защищается с помощью DPAPI (Data Protection API). Теоретически, при неповреждённом профиле пользователя ключ можно извлечь. Однако на практике это бессмысленно, так как зависящие от DPAPI кусты реестра уже уничтожены, а загрузочный сектор стёрт. Таким образом, шифрование служит лишь косметическим слоем, маскирующим необратимое разрушение. В коде отсутствуют какие-либо механизмы для выкупа: нет адресов криптокошельков, контактных данных или ссылок на анонимные сервисы в сети Tor.
Несмотря на явные признаки уничтожителя, Tranium ошибочно классифицируется большинством антивирусных движков. По данным на момент анализа, лишь 9 из 76 продуктов детектировали угрозу, и все они помечали её как ransomware - программу-вымогатель. Например, Kaspersky определяет её как "Trojan-Ransom.Win32.Agent.gen", а Microsoft - как "Ransom:Win32/Genasom". Ни один вендор не идентифицировал семейство угрозы корректно, что подчёркивает сложность автоматического различения деструктивных программ и вымогателей на основе лишь сигнатурного анализа.
Помимо основного разрушения, Tranium реализует впечатляющий набор техник для закрепления в системе (persistence) и повышения привилегий. Автор использовал не менее десяти различных механизмов, включая создание записей в автозагрузке реестра (Run, RunOnce), копирование в папку "Автозагрузка", создание службы Windows и тройное вложение запланированных задач, где каждая задача воссоздаёт другую. Особого внимания заслуживает техника IFEO (Image File Execution Options), при которой перехватывается запуск пяти системных утилит специальных возможностей (например, экранной клавиатуры или лупы), что позволяет выполнить вредоносный код даже на экране блокировки. Для обхода контроля учётных записей (UAC) используется известный метод "fodhelper". Дополнительно программа вносит более 16 изменений в групповые политики, блокируя диспетчер задач, редактор реестра, командную строку и интерфейсные элементы Windows, что лишает пользователя возможности принять ответные меры.
Кульминацией работы Tranium становится принудительное вызывание "синего экрана смерти" (BSOD) через функцию "NtRaiseHardError" и смена обоев рабочего стола. Загружаемое изображение - это фотография американского видеоблогера Tranium, известного тестированием вредоносных программ, что, вероятно, является своеобразной "подписью" автора. Это указывает на возможную связь с коммьюнити энтузиастов информационной безопасности или даже на попытку имитации атаки.
С технической точки зрения, Tranium является мастерски спланированным уничтожителем, который использует сложность и многоэтапность для гарантированного вывода системы из строя. Его опасность для бизнеса заключается не только в прямой потере данных на заражённой машине, но и в потенциальном использовании в рамках более масштабных атак для саботажа или сокрытия следов другой вредоносной активности. Для специалистов по безопасности данный случай служит важным напоминанием: автоматическая классификация угроз не всегда отражает их истинную суть. Глубокий анализ поведения образца, особенно порядка операций и конечных целей, остаётся критически важным для правильной оценки инцидента и принятия адекватных мер реагирования.
Индикаторы компрометации
IPv4
- 71.179.14.4
- 91.193.56.10
- 91.193.56.11
- 91.193.56.12
- 91.193.56.14
Domains
- autism.lat
- biteblob.com
- file.marafile.cc
- thegumonmyshoe.me
MD5
- 4e2bd2c481372f7ab13b83b63b424e97
- 5dc62f4c65df422f1e7a0e691b1a075b
SHA256
- 06430cf9e0ec9fb5b783db7c01fd59bd651d8877143fc45d2bcd7e4dedaf94a6
- 0fd1cd57e37b3c312ed66c2dda1e9548dfccdf1d8fcf57416b67118e072b38a4
- 3bfeaa70b0df65969d5ac7fb2ae6e110fbd3cd2901658ff4ac0cbf8569a2ff38
Mutex
- Global\{F9E3B4A1-2D5C-4F8B-9A6E-1C7D3B5A8F2E}
