Yurei Ransomware: цифровой призрак, угрожающий корпоративным сетям

Программа добавляет расширение .Yurei к зашифрованным файлам, удаляет теневые копии Volume Shadow Copies и системные резервные копии, а также очищает журналы событий Windows, что блокирует восстановление данных и затрудняет работу специалистов по кибербезопасности. Распространение происходит через сетевые ресурсы SMB, съемные носители и с использованием учетных данных для удаленного выполнения через PsExec и CIM.

Криптографическая схема Yurei использует уникальные ключи шифрования ChaCha20 для каждого файла, которые дополнительно защищаются с помощью асимметричного шифрования ECIES. Такой подход делает самостоятельное восстановление данных практически невозможным без сотрудничества с злоумышленниками.

Анализ показывает, что Yurei размещает полезную нагрузку во временных каталогах, распространяет профессионально оформленные ransom-notes с контактами через сеть Tor и выполняет безопасное удаление следов своей деятельности. Эти характеристики указывают на хорошо организованную операцию, готовую к двойному шантажу, когда кроме шифрования данных происходит их хищение с угрозой публикации.

В процессе выполнения программа последовательно запускает функции шифрования всех доступных дисков и сетевых ресурсов, изменяет фон рабочего стола, отключает службы резервного копирования и удаляет теневые копии. Для этого используются команды PowerShell, такие как vssadmin Delete Shadows /All /Quiet и wbadmin Delete Catalog -Quiet, которые выполняются скрытно.

Особенностью Yurei является механизм распространения через съемные носители, где программа маскируется под файл WindowsUpdate.exe, и через сетевые ресурсы, куда копируется под именем System32_Backup.exe. Для удаленного выполнения используется создание объектов PSCredential и CIM-сессий, что позволяет злоумышленникам перемещаться по корпоративной сети.

Шифрование файлов осуществляется частями по 2 МБ с использованием алгоритма ChaCha20, что позволяет обрабатывать большие файлы без полной загрузки в память. Каждый файл получает уникальную пару ключ-нонс, которая шифруется с помощью открытого ключа ECIES, встроенного в исполняемый файл.

После завершения шифрования в каждом каталоге создается файл _README_Yurei.txt с инструкциями по выплате выкупа. Сообщение адресовано руководству компаний и содержит угрозы публикации похищенных данных, что характерно для тактики двойного шантажа. Для связи предлагается использовать Tor-сайты с уникальными идентификаторами жертв.

Антифорензические возможности включают очистку консоли, принудительную сборку мусора и перезапись памяти случайными данными. Функция selfDestruct выполняет безопасное удаление самого вредоносного ПО с многократной перезаписью файла, переименованием и очисткой метаданных.

Анализ метаданных сборки выявил возможную связь с другими известными программами-вымогателями. В частности, обнаружены пути компиляции, указывающие на возможную связь с SatanLockerV2. Также отмечается значительное сходство с открытым проектом Prince-Ransomware, включая сохранение символов, одинаковые криптографические схемы и унаследованные недоработки.

Первый случай заражения Yurei Ransomware был зафиксирован 5 сентября 2025 года в пищевой компании Шри-Ланки. Первые образцы появились в базах данных вредоносного ПО 7 сентября 2025 года из Марокко, с последующими загрузками из Германии и Турции, хотя это не обязательно указывает на географическую принадлежность разработчиков.

Yurei Ransomware представляет собой серьезную угрозу для организаций, сочетая современные методы шифрования, эффективные механизмы распространения и средства противодействия расследованию. Профессиональная реализация и готовность к двойному шантажу делают эту программу-вымогатель особенно опасной в руках киберпреступников.

URLs

• http://fewcriet5rhoy66k6c4cyvb2pqrblxtx4mekj3s5l4jjt4t4kn4vheyd.onion
• http://fewcriet5rhoy66k6c4cyvb2pqrblxtx4mekj3s5l4jjt4t4kn4vheyd.onion/chat/777676f8-2313-425f-873a-65c4df8d5def/chat.php

SHA256

• 1263280c916464c2aa755a81b0f947e769c8a735a74a172157257fca340e1cf4
• 4f88d3977a24fb160fc3ba69821287a197ae9b04493d705dc2fe939442ba6461