Шифрование и шантаж: как Vgod захватывает данные пользователей Windows

Исследователи CYFIRMA обнаружили новую угрозу в киберпространстве — вирус-вымогатель Vgod, активно распространяющийся на подпольных хакерских форумах. Этот вредоносный код нацелен на операционные системы Windows, где он применяет сложные методы шифрования и добавляет к зашифрованным файлам уникальное расширение «.Vgod».

После проникновения на устройство вирус мгновенно шифрует данные, а затем оставляет на рабочем столе жертвы записку под названием «Decryption Instructions.txt» с требованиями злоумышленников. Одновременно с этим изменяется фон рабочего стола, чтобы привлечь внимание жертвы. В тексте уведомления упоминается не только факт блокировки файлов, но и кража конфиденциальной информации с последующей угрозой её публикации, что свидетельствует о применении тактики двойного вымогательства.

Анализ поведения Vgod указывает на его сложные механизмы уклонения от обнаружения. Он использует DLL Sideloading для обхода защитных механизмов, инъекции процессов, а также манипуляции с системным реестром. Среди зафиксированных тактик присутствует маскировка, проверка среды на наличие виртуальных машин и песочниц, а также загрузка вредоносного кода до этапа загрузки ОС, что делает его особенно устойчивым к удалению.

Эксперты CYFIRMA идентифицировали используемые угрозой методы по классификации MITRE ATT&CK, включая:

• Выполнение через PowerShell (T1059.001), API Windows (T1106) и DLL-модули (T1129);
• Устойчивость за счёт внедрения в загрузочные процессы (T1542.003) и подмены DLL-библиотек (T1574.002);
• Повышение привилегий через инъекции процессов (T1055) и обход механизмов контроля доступа (T1548);
• Избегание обнаружения благодаря скрытым файлам, шифрованию, изменению системных параметров (T1014, T1036, T1112);
• Доступ к учётным данным через дамп паролей Windows (T1003) и анализ файлов конфигурации (T1552.001);
• Сбор информации о системе, запущенных процессах и установленных приложениях (T1010, T1082, T1518.001);
• Вывод данных через зашифрованные каналы (T1573) и нестандартные протоколы (T1095);
• Влияние на систему за счёт шифрования данных (T1486) и использования вычислительных ресурсов жертвы (T1496).

Согласно наблюдениям, злоумышленники взаимодействуют с жертвами через электронную почту, где, вероятно, и предоставляются дальнейшие инструкции для перевода выкупа.

Для защиты от подобных атак специалисты рекомендуют внедрение принципов Zero Trust, использование многофакторной аутентификации и регулярное обновление систем. Важно также регулярно создавать резервные копии данных, что позволит быстро восстановить информацию без необходимости вести переговоры с вымогателями.

Vgod напоминает: киберпреступники постоянно совершенствуют свои инструменты, поэтому и защита должна не отставать. Без системного подхода к безопасности каждый файл — это потенциальный заложник.