Обнаружен новый опасный ransomware Lyrix: атакует Windows с помощью Python и угрожает утечкой данных

Первые случаи заражения были зафиксированы 20 апреля 2025 года. Атака начинается с запуска файла Encryptor.exe, который не имеет цифровой подписи и весит около 20,43 МБ. После проникновения в систему Lyrix генерирует 256-битный AES-ключ, шифрует его с помощью жестко встроенного RSA-ключа и сохраняет в папке ProgramData под именем 02dq34jR0u.key, делая невозможным восстановление данных без участия злоумышленников.

Вредоносное ПО сканирует ключевые пользовательские директории - Downloads, Music, Documents, Desktop, Videos и Pictures - и шифрует файлы, пропуская только системные (.exe, .dll, .lnk), чтобы не нарушить работоспособность ОС. В каждой папке Lyrix оставляет файл Readme.txt с инструкциями по выплате выкупа. Злоумышленники угрожают утечкой данных в случае отказа от оплаты и предлагают бесплатно расшифровать два случайных файла в качестве доказательства своих возможностей.

Для усложнения восстановления системы ransomware удаляет все теневые копии через команды vssadmin delete shadows и wmic shadowcopy delete, а также отключает среду восстановления Windows (WinRE), блокируя любые попытки самостоятельного восстановления.

Исследователи также выяснили, что ProtonMail-аккаунт, указанный в ransom-ноте, был создан в апреле 2025 года, что подтверждает активность злоумышленников в этот период.

Чтобы минимизировать риски заражения, эксперты рекомендуют обучать сотрудников основам кибербезопасности, избегать загрузки файлов из ненадежных источников, использовать современные решения для защиты конечных точек и своевременно обновлять ПО. В случае инцидента критически важно немедленно изолировать зараженные системы и обратиться к специалистам по реагированию на киберинциденты.

MD5

• 72a8f2c6e5628f5e8e3c4dc7dcdb93cb
• d298fb4197d65eabf1ef427c2eb737f1

SHA256

• 77706303f801496d82f83189beff412d83a362f017cadecc7a3e349a699ce458
• fcfa43ecb55ba6a46d8351257a491025022f85e9ae9d5e93d945073f612c877b