LithiumWare: вирус размером 103 КБ требует выкуп в $900,000

Исследователи в области кибербезопасности выявили новую угрозу — вредоносное ПО под названием LithiumWare, распространяющееся через открытые источники в сети. Вредоносный файл, имеющий размер 103 КБ, способен выполнять широкий спектр деструктивных действий, включая шифрование файлов, манипуляции с реестром, мониторинг процессов и перехват данных из буфера обмена. При этом он активно распространяется, повышая риск заражения среди пользователей.

Анализ Cyfirma показал , что вредоносное ПО использует комбинацию шифрования AES и RSA для защиты зашифрованных данных от расшифровки без уникального ключа злоумышленников. Алгоритм работает с жёстко заданными параметрами, что делает восстановление информации без оригинального ключа практически невозможным. Кроме того, программа динамически генерирует расширения для зашифрованных файлов, что усложняет их обнаружение средствами киберзащиты.

LithiumWare обладает механизмами устойчивости в заражённой системе. Он использует несколько стратегий закрепления, включая автоматический запуск через реестр Windows, копирование исполняемого файла в системные папки и маскировку под легитимные процессы. Также обнаружена способность вредоноса изменять фон рабочего стола, отображая сообщение с требованием выкупа, сумма которого достигает 900 000 долларов США.

Одной из ключевых функций вредоноса является мониторинг буфера обмена. Программа перехватывает и подменяет адреса криптовалютных кошельков, что позволяет злоумышленникам перенаправлять переводы жертв на свои счета. Этот тип атак получил распространение среди киберпреступников, стремящихся к краже цифровых активов.

Кроме шифрования файлов, вредоносное ПО использует стандартные утилиты Windows для удаления теневых копий файлов, отключения механизмов восстановления системы и модификации загрузочных параметров. Это делает невозможным восстановление данных традиционными методами и принуждает жертву к выплате выкупа.

Динамический анализ показал, что при запуске программа активирует встроенные механизмы распространения, копируя себя на съёмные и сетевые диски. Это значительно увеличивает скорость заражения новых систем, особенно в корпоративных сетях. Кроме того, угрозу представляет размещение вредоносного кода в открытом доступе, что позволяет преступникам массово распространять заражённые файлы.

Для защиты от подобных атак рекомендуется применять архитектуру Zero Trust, сегментацию сети, многофакторную аутентификацию и контроль доступа к критически важным файлам. Важную роль играют решения EDR/XDR, способные выявлять аномалии в поведении процессов, а также механизмы фильтрации почты и веб-трафика. Кроме того, организации должны регулярно обновлять программное обеспечение, проводить тренинги по кибербезопасности и использовать изолированные резервные копии данных.

В заключение эксперты подчёркивают, что LithiumWare представляет серьёзную угрозу для пользователей и компаний. Его функционал делает восстановление данных практически невозможным без ключа злоумышленников. Предприятиям необходимо усилить меры защиты и проактивно отслеживать киберугрозы, чтобы минимизировать потенциальный ущерб.