В начале 2026 года на киберпреступной сцене была замечена активность новой группы, использующей программы-вымогатели, которая получила название Green Blood. Её отличает использование программной нагрузки, написанной на языке программирования Go (Golang), что в последние годы становится всё более распространённым среди авторов вредоносного ПО из-за кроссплатформенности и сложности статического анализа скомпилированных файлов. Группа атакует в основном организации в Южной Азии, Африке и некоторых странах Южной Америки, применяя распространённую тактику двойного вымогательства: шифрование файлов и угрозу публикации похищенных конфиденциальных данных.
Описание
Однако технический анализ, проведённый экспертами по информационной безопасности, выявил критическую ошибку в логике работы программы-вымогателя, которая теоретически позволяет жертвам восстановить свои файлы без уплаты выкупа. Внимательное изучение алгоритма генерации ключа шифрования показало уязвимость, сводящую на нет криптографическую стойкость всей операции.
После проникновения в систему программа Green Blood выполняет стандартные для подобных угроз действия. Она определяет количество логических ядер процессора для настройки многопоточности, создаёт мьютекс для предотвращения повторного запуска и приступает к подготовке шифрования. Для этого генерируется 32-байтовый криптостойкий ключ AES-256, который будет использоваться для шифрования всех файлов на целевой машине. Параллельно создаётся уникальный Machine ID размером 16 байт, основанный на хеше системной информации: имени хоста, серийного номера тома, версии Windows, UUID BIOS и MAC-адреса сетевого интерфейса.
Именно на следующем этапе разработчики допустили фундаментальную ошибку. Чтобы впоследствии предложить жертве возможность восстановления данных за плату, программа формирует так называемый Recovery Token. Этот токен, согласно отчёту исследователей, получается путём операции исключающего «ИЛИ» (XOR) между главным ключом шифрования AES-256 (32 байта) и Machine ID (16 байт). Полученное значение затем включается в файл с требованиями выкупа (ransom note) вместе с тем же Machine ID. По задумке злоумышленников, только они, обладая оригинальным ключом, могут провести обратную операцию и предоставить жертве инструмент для расшифровки после получения оплаты.
Однако эта логика обратима. Поскольку в записке с требованиями открыто присутствуют и Recovery Token, и Machine ID, любая жертва или специалист по кибербезопасности может провести обратную операцию XOR между этими двумя значениями и восстановить исходный 32-байтовый ключ AES-256, использованный для шифрования. Этот ключ является общим для всех зашифрованных файлов в системе. Для непосредственной расшифровки каждого файла также необходим вектор инициализации (IV), который, к счастью, не является секретным: он в открытом виде записывается в начало каждого зашифрованного файла. Таким образом, обладая восстановленным главным ключом и индивидуальным IV из каждого файла, можно применить алгоритм AES-256 в режиме CTR для возврата данных в исходное состояние.
Помимо этой ключевой уязвимости, программа-вымогатель обладает типичным для подобных угроз функционалом. Она рекурсивно обходит все фиксированные диски, исключая из шифрования системные файлы с расширениями вроде .exe или .dll (всего 20 расширений) и шифруя пользовательские данные по обширному списку из 140 расширений. Для ускорения процесса создаётся до 50 параллельных потоков (воркеров). Также реализован комплекс анти-форензикных мер: при запуске с правами администратора программа пытается удалить теневые копии томов (Volume Shadow Copy), отключить Windows Recovery Environment, деактивировать защитник Windows и брандмауэр, существенно затрудняя восстановление системы стандартными средствами. После выполнения основной задачи программа самоуничтожается с помощью созданного batch-файла.
С практической точки зрения обнаружение такой уязвимости в логике работы программы-вымогателя является редкой удачей для пострадавших организаций. Обычно восстановление данных без ключа злоумышленников при использовании стойкой криптографии практически невозможно. В данном же случае у специалистов по информационной безопасности появляется реальный шанс разработать бесплатный дешифратор. Тем не менее, сам факт атаки остаётся крайне опасным. Группа Green Blood не только шифрует данные, но и похищает их, угрожая публикацией, что создаёт риски нарушения конфиденциальности и регуляторных штрафов даже в случае успешного восстановления файлов.
Для защиты от подобных угроз эксперты рекомендуют придерживаться классических, но эффективных мер. Критически важна регулярное и изолированное (offline) резервное копирование данных, которое полностью нивелирует угрозу шифрования. Не менее важна сегментация сети и строгий контроль привилегий, чтобы ограничить перемещение злоумышленника в случае проникновения. Своевременное обновление ПО и применение решений для обнаружения и реагирования на конечных точках помогают выявить подозрительную активность на ранних стадиях, например, массовое переименование файлов или выполнение команд для удаления теневых копий. Обнаружение группы Green Blood, несмотря на её ошибку, служит очередным напоминанием, что киберпреступники постоянно экспериментируют с новыми инструментами и тактиками, а значит, и защита должна быть многослойной и проактивной.
Индикаторы компрометации
MD5
- e760729dcee518659d9510ae1705db51
Mutex
- Global\\GREENBLOOD_ENCRYPTOR_MUTEX_2A3B4C5D
