Новый вымогатель GibCrypto: связь с троянцем-кейлоггером и тактика тотального разрушения

Основная опасность GibCrypto заключается в его двойственной природе. С одной стороны, это классический шифровальщик, использующий алгоритм Salsa20 для кодирования файлов пользователя с добавлением расширения ".gibcrypto". С другой - программа обладает комплексом функций, характерных для шпионского программного обеспечения. После блокировки экрана жертвы демонстрацией требования выкупа вредонос начинает перехватывать нажатия клавиш, что является классическим признаком кейлоггера. Кроме того, он активно препятствует любым попыткам пользователя восстановить контроль: блокируются комбинации клавиш для вызова диспетчера задач (Alt, Tab, клавиши Windows), а также отключается сам диспетчер задач для текущего пользователя.

Однако истинно разрушительный характер GibCrypto проявляется в его механизмах противодействия защите и уничтожения системных резервных копий. Для обеспечения устойчивости в системе он создает автозагрузочную запись в реестре Windows. Одновременно предпринимаются шаги по нейтрализации встроенных средств безопасности. С помощью PowerShell отключается мониторинг в реальном времени антивирусного решения Windows Defender. Более изощренным методом является патчинг функции "AMSIScanBuffer", ключевого компонента интерфейса антимальварного сканирования (AMSI) в Windows. Вредоносный код перезаписывает первые шесть байт этой функции в памяти, заставляя её немедленно завершаться с ошибкой «неверный параметр», что полностью отключает сканирование скриптов PowerShell и предотвращает детектирование. Данный метод, известный как инлайн-патчинг, давно используется сложными угрозами для обхода защитных механизмов.

Далее атака переходит в фазу, критическую для аварийного восстановления. Используя командную строку, GibCrypto принудительно удаляет теневые копии томов (Volume Shadow Copy), лишая администраторов возможности откатить систему к предыдущему стабильному состоянию с помощью стандартных средств Windows. Следующим ударом становится повреждение главной загрузочной записи (MBR). После перезагрузки это приводит к невозможности загрузки операционной системы, вызывая ошибку на экране. Но и это не всё. Вредонос начинает целенаправленно портить критические системные библиотеки DLL, перезаписывая их содержимое случайными байтами. Этот процесс, повторяющийся с паузами, ведёт к нестабильности системы, появлению «синего экрана смерти» (BSOD) и сбоям в работе служб, фактически делая её неработоспособной.

Особый интерес представляет шпионский модуль, интегрированный в шифровальщик. После успешного заражения GibCrypto создаёт зашифрованный файл, содержащий имя пользователя и компьютера жертвы, а затем отправляет его через мессенджер Telegram, используя заранее заданные токен бота и идентификатор чата. В тот же канал управления передаётся и снимок экрана заблокированного рабочего стола. Это позволяет злоумышленникам не только получать подтверждение компрометации, но и собирать дополнительную информацию о жертве. Расследование, проведённое аналитиками, показало прямую связь: используемые в образце GibCrypto токен бота и ChatID соответствуют инфраструктуре, которая ранее применялась в кампаниях троянца Snake Keylogger. Совпадение таких технических характеристик, как компиляция в MSIL, наличие функций кейлоггинга, сбора скриншотов и общего канала C2, с высокой долей вероятности указывает на то, что за распространением GibCrypto стоят те же угрозовые акторы, что и за Snake Keylogger.

Таким образом, GibCrypto представляет собой качественно новую ступень в развитии угроз-вымогателей. Он не просто шифрует данные для выкупа, но и активно саботирует восстановление, повреждая ключевые компоненты операционной системы, и сочетает это с функциями слежения. Подобная тактика превращает инцидент из проблемы с доступом к данным в полноценную ИТ-катастрофу, требующую полного восстановления систем с чистых носителей. Даже в случае выплаты выкупа нет гарантии, что злоумышленники предоставят работоспособный дешифратор, учитывая масштаб нанесённого системного ущерба. Защита от подобных комплексных атак требует многоуровневого подхода: регулярное резервное копирование данных на изолированные носители, строгое ограничение прав пользователей и использование PowerShell, постоянное обновление систем и программного обеспечения, а также внедрение решений для обнаружения аномалий, способных выявить подозрительную активность, такую как массовое удаление теневых копий или модификация системных файлов. Только комплекс этих мер может создать эффективный барьер на пути столь разрушительных гибридных угроз.

MD5

• 1b56666bc5db3351fc112245251620b2