Сначала бэкапы, потом 1С. Как шифровальщик C77L лишает российский бизнес шансов на восстановление

В начале 2026 года исследователи заметили короткую паузу в активности персидских вымогательских группировок, которую связывают с геополитическим кризисом на Ближнем Востоке. Пока одни снижали темп, нишу быстро заняли конкуренты вроде VoidCrypt (Ouroboros). Но расслабляться рано: как только внешнее давление спадает, такие группы обычно возвращаются к «работе» и нередко приносят с собой обновлённый инструментарий и новые версии шифровальщиков.

На российском рынке вымогателей конкуренция особенно плотная: место «закрытых» программ быстро занимают новые. После того как в феврале 2025 года правоохранители прикрыли одну из заметных партнёрских программ Phobos, уже в марте появилась восточная RaaS-схема C77L. С момента её появления партнёры C77L провели как минимум 40 атак на организации в России и Беларуси, причём чаще всего страдали компании малого и среднего бизнеса из торговли, производства и сферы услуг, хотя среди жертв встречались и госструктуры.

По своей «родословной» C77L выглядит типично для восточных партнёрских программ: они часто вырастают вокруг конкретных семейств шифровальщиков и пересекаются по участникам. В данном случае исследователи предполагают связь C77L с экосистемой Proton: ещё в атаках Proton в 2024 году встречалось расширение c77L для зашифрованных файлов, а часть контактов атакующих повторяется и в других партнёрках, прежде всего в Proton и Sauron. Внутри таких схем нередко работают «многостаночники», которые параллельно участвуют сразу в нескольких программах.

Сама C77L тоже развивается быстро: с марта 2025 года разработчики успели выпустить пять версий, и ранние сборки долго оставались основным выбором партнёров, атакующих Россию, с маркером файлов EncryptedByC77L. Однако уже в ноябре 2025 года фиксировались инциденты с последней версией, а в начале января 2026 года попался свежий образец, где авторы подправили часть ошибок и слегка изменили структуру метаданных. По итогам 2025 года C77L заняла шестое место по числу атак среди вымогательских семейств.

По тактикам C77L не пытается удивлять и именно этим опасна. Главный вход, как и у многих похожих групп, это публично доступный удалённый доступ, чаще всего RDP, реже VPN. Слабые пароли, отсутствие MFA и базовой гигиены вроде ограничений по доступу превращают подбор учётных данных в рабочую рутину. Атаки часто стартуют ночью и развиваются быстро: партнёры C77L обычно не тратят время на эксфильтрацию, а идут напрямую к цели, то есть к шифрованию. Приоритетные «мишени» внутри сети тоже предсказуемы: ресурсы с резервными копиями и базы данных, особенно 1С, потому что их блокировка сильнее всего давит на бизнес.

Получив точку опоры во внутреннем сегменте, атакующие разворачивают набор утилит прямо в пользовательских папках, например в Pictures или на рабочем столе. Для кражи паролей из памяти используют mimikatz, для подбора паролей и поиска сохранённых секретов применяют специализированные инструменты, а также утилиты NirSoft и Everything. Разведку сети делают через SoftPerfect Network Scanner и консольные сканеры, а перемещение между хостами в основном строят на том же RDP. Перед запуском шифровальщика активно «зачищают поле»: пытаются отключать защиту, чистят журналы событий Windows, удаляют теневые копии, останавливают службы баз данных и бэкапов, встречаются и инструменты для удаления продуктов безопасности и деинсталляции софта.

Технически C77L это консольное приложение под Windows на C++ (32 или 64 бит), со скрытыми строками и иногда с упаковкой UPX. В последних версиях шифровальщик подтягивает настройки из Config.ini, генерирует AES-сессионный ключ и шифрует его мастер-ключом, а для закрепления может создавать задачу планировщика и копировать себя в Startup. После шифрования следы стараются убрать, удаляя и задачу, и копию бинарника, а при определённой настройке могут ещё и затирать свободное место на дисках. Для шифрования данных используется схема с AES-сессионными ключами, знакомая по ряду старых семейств, а в новых версиях заметен тренд на шифрование имён файлов: вместо узнаваемых названий жертва получает случайные строки и расширения, что усложняет визуальную идентификацию инцидента. Отдельно любопытен «телеметрический» штрих: при включённой опции шифровальщик отправляет отчёт о системе и результате шифрования через Discord Webhooks.

Вывод при этом довольно приземлённый: C77L берёт не инновациями, а массовостью и эксплуатацией типовых ошибок администрирования. Поэтому защита тоже начинается не с «волшебной таблетки», а с дисциплины: закрытый или жёстко ограниченный RDP, обязательный MFA для удалённого доступа, сильные пароли и мониторинг попыток подбора, сегментация сети, отдельная защита и изоляция бэкапов, а также контроль за запуском подозрительных утилит и сценариев, которые любят такие партнёрские программы.