Написан на Python, но работает как спецназ: новый вирус Lyrix наводит страх

Исследовательская команда CYFIRMA обнаружила новое вредоносное ПО — Lyrix Ransomware, разработанное на языке Python и скомпилированное с помощью PyInstaller для запуска на Windows в виде самостоятельного исполняемого файла. Это позволило объединить все зависимости в один файл, облегчая распространение вируса. Lyrix использует мощное шифрование и уникальные методы уклонения от обнаружения, что делает его особенно опасным для систем и затрудняет удаление. Впервые его активность зафиксирована 20 апреля 2025 года.

По данным специалистов, программа маскирует вредоносное поведение, обходит сигнатурную защиту, шифрует пользовательские файлы и угрожает утечкой данных. Каждому зашифрованному файлу присваивается расширение «.02dq34jROu», а сами зашифрованные ключи сохраняются в системной директории ProgramData в виде файла с тем же именем. Расшифровать данные без приватного ключа злоумышленников невозможно.

Lyrix Ransomware запускается под видом файла Encryptor.exe (размер — 20,43 МБ) и использует стандартный формат Win32 EXE с заголовком «MZ». Он не подписан цифровой подписью, что дополнительно затрудняет его блокировку антивирусами . В момент заражения программа сканирует пользовательские директории — Загрузки, Документы, Рабочий стол, Изображения, Музыка и Видео — и выборочно шифрует файлы популярных форматов, таких как DOCX, PDF, XLS и JPG. При этом исполняемые файлы, библиотеки DLL и ярлыки не затрагиваются, чтобы не нарушить работу системы и избежать преждевременного обнаружения.

Для создания и хранения ключей шифрования Lyrix генерирует уникальный AES-ключ и шифрует его с помощью встроенного RSA-публичного ключа. После этого вирус удаляет все теневые копии системы, используя команды vssadmin delete shadows /all /quiet и wmic shadowcopy delete, чтобы заблокировать попытки восстановления данных. Затем он модифицирует загрузочную конфигурацию Windows, отключая системные сообщения об ошибках (bcdedit /set {default} bootstatuspolicy ignoreallfailures) и выключает среду восстановления Windows (bcdedit /set {default} recoveryenabled no).

После завершения шифрования в каждом каталоге оставляется файл «Readme.txt» с инструкциями по выкупу. В сообщении утверждается, что данные были украдены и зашифрованы. Жертве предлагается расшифровать два файла бесплатно в качестве доказательства. Угроза обнародовать часть данных используется как дополнительный рычаг давления. Контактный адрес — ProtonMail, зарегистрированный в апреле 2025 года.

Технический анализ показал, что Lyrix использует целый арсенал антивиртуализационных и антианалитических техник, включая VirtualProtect, Sleep, GetCurrentProcess, TerminateProcess, GetStartupInfoW, GetWindowLongPtrW и ShutdownBlockReasonCreate. Всё это направлено на маскировку поведения и затруднение автоматического анализа. В рамках MITRE ATT&CK зафиксированы следующие техники: от запуска скриптов и внедрения процессов до сокрытия артефактов и манипуляции с учетными данными.

В рамках противодействия угрозе, специалисты рекомендуют:

• запретить запуск исполняемых файлов из временных директорий с помощью AppLocker или SRP;

• ограничить доступ к командам vssadmin, wmic, bcdedit и другим системным утилитам;

• усилить защиту электронной почты и фильтрацию вложений;

• использовать современные EDR-решения , отслеживающие массовое переименование или шифрование файлов;

• проводить регулярное обучение сотрудников, в том числе с использованием имитаций фишинговых атак;

• поддерживать актуальность планов реагирования на инциденты и регулярно их тестировать;

• изолировать заражённые системы сразу после выявления активности;

• сохранять артефакты для последующего анализа и не удалять зашифрованные файлы;

• не платить выкуп, так как это не гарантирует восстановления данных.

Дополнительно предлагается использовать YARA-правила и IoC, предоставленные CYFIRMA, для настройки систем обнаружения. Подчёркивается важность регулярных резервных копий на защищённых и отключённых от сети носителях.