Новая угроза в Киберпространстве: Группа AiLock Ransomware использует продвинутые техники шифрования и уклонения

AiLock написан на C/C++ и отличается модульной структурой. При запуске он добавляет расширение .AiLock к зашифрованным файлам и оставляет в директориях жертвы файл Readme.txt с требованиями выкупа. Ключевая особенность - использование механизма IOCP (I/O Completion Port) для управления потоками: Path Traversal Thread идентифицирует файлы для атаки, исключая заданные расширения (например, .exe, .dll) и системные каталоги (Program Files, Windows), а Encryption Thread выполняет само шифрование через связку алгоритмов ChaCha20 и NTRUEncrypt. Последний шифрует метаданные, включая ключи ChaCha20, что делает восстановление данных без злоумышленников практически невозможным.

Важнейшая инновация AiLock - адаптивное шифрование в зависимости от размера файла: файлы менее 100 МБ шифруются целиком; от 100 МБ до 1 ГБ - частично; свыше 1 ГБ - выборочно, что ускоряет атаку и снижает шансы обнаружения. Для сокрытия строк (API, команд) используется XOR-шифрование с 8-байтовым ключом, а все системные функции динамически загружаются через LoadLibrary() и GetProcAddress(), что усложняет статический анализ.

Перед началом шифрования AiLock предпринимает серию действий для максимизации ущерба.

• Он останавливает критические службы через ControlService() и убивает процессы (например, sqlservr.exe, outlook.exe) с помощью TerminateProcess(), предотвращая блокировку файлов.
• Очищает корзину через SHEmptyRecycleBinA() и создает мьютекс "FAUST" для избежания повторного запуска на одной машине.
• При аргументе -full сканирует все диски через GetLogicalDrives(), а при -shares атакует сетевые ресурсы через WNet API.

Для психологического давления группа меняет интерфейс жертвы:

• Подменяет иконки зашифрованных файлов на tmp.ico из %TEMP%, прописывая путь в реестре (HKCR/.AiLock/DefaultIcon).
• Устанавливает фоновое изображение рабочего стола и модифицирует реестр (HKCU/Control Panel/Desktop), меняя параметры TileWallpaper и WallpaperStyle на 0.

Самоудаление при активации флага -del реализовано через cmd.exe с командой ping 127.0.0.1 & del [путь], что маскирует следы.

Рансомвер использует конфигурационный блок (Config), зашифрованный ChaCha20 с жестко заданными ключом и nonce-значением. После дешифровки проверяет маркеры DE AD BA BE и BA BE DE AD, а также сверяет SHA-256 хеш конфига для исключения повреждений. В Config встроен публичный ключ NTRUEncrypt, который шифрует "футер" файла - структуру с метаданными (размер, время, ключи) и маркером B5 00 6B B1. Этот футер добавляется в конец зашифрованного файла, что позволяет злоумышленникам идентифицировать данные для дешифровки.

AiLock демонстрирует высокую адаптивность: его сайты для переговоров и слива данных постоянно меняют домены, а новые образцы фиксируются в дикой природе ежемесячно. Эксперты S2W Threat Intelligence подчеркивают: группа будет наращивать активность, учитывая рентабельность модели RaaS.

Группа AiLock - не просто очередной эпифеномен киберпреступности, а системная угроза, сочетающая техническую изощренность с продуманной операционной моделью. Их активность подчеркивает: в гонке между защитниками и злоумышленниками счет идет на часы, и только комплексный подход к безопасности позволит организациям избежать катастрофических потерь.

MD5

• 2a728d98ae8280efeaa674783181f3fa

SHA256

• 3c7c91cd4dc336db8082e07ab7549556f05d80acbc778afc2dade67c02002f69