AiLock 2025: новый уровень шифрования и скрытности программ-вымогателей

Программа-вымогатель AiLock: новая угроза с продвинутыми методами шифрования и скрытности

В марте 2025 года была выявлена новая программа-вымогатель AiLock, которая представляет собой группу по борьбе с вымогательством как услугу (RaaS). Особенность AiLock заключается в развитой инфраструктуре ведения переговоров с жертвами через специализированный сайт, где злоумышленники угрожают раскрыть украденные данные на платформе утечки.

Технические характеристики и методы шифрования

Вредоносное ПО, созданное на C/C++, использует комплексный процесс шифрования файлов, присваивая им расширение .К. К зашифрованным данным добавляется специальная блокировка, а в соответствующие каталоги помещается записка с требованием выкупа под названием Readme.txt.

AiLock применяет два параллельных потока для эффективного шифрования:

• Поток обхода пути – отвечает за поиск подходящих файлов для шифрования;
• Поток шифрования – непосредственно выполняет шифрование в соответствии с заданной структурой.

Алгоритмы шифрования включают ChaCha20 для защиты данных, дополненный NTRUEncrypt для шифрования метаданных. Стратегия шифрования выбирается в зависимости от размера файла:

• Файлы менее 100 МБ подвергаются полному шифрованию;
• Файлы размером от 100 МБ до 1 ГБ шифруются частично.

Механизмы запуска и скрытности

Для своей работы AiLock требует запуска с определёнными аргументами командной строки, такими как -full и -path, активирующими соответствующие функции шифрования. Командные строки программы дополнительно запутываются с помощью операции XOR, использующей повторяющийся случайный 8-байтовый ключ, что значительно усложняет анализ вредоносного ПО.

Все вызовы API динамически разрешаются, что повышает уровень скрытности и затрудняет обнаружение.

Расширенные возможности и воздействие на систему

AiLock имеет способность производить полное сканирование подключенных дисков через API GetLogicalDrives(), а при использовании параметра -shares – получать доступ к сетевым ресурсам, связанным с заражённой системой. Это позволяет вредоносной программе распространяться по локальным и сетевым дискам, увеличивая масштаб атаки.

Вредоносное ПО также манипулирует системной средой для усиления своего воздействия:

• Очищает корзину с помощью API SHEmptyRecycleBinA(), удаляя таким образом следы деятельности пользователя;
• Изменяет значки зашифрованных файлов через реестр, помещая временный файл значков в каталог %TEMP%, чтобы ввести пользователя в заблуждение.

Адаптивность и рекомендации по противодействию

AiLock демонстрирует высокую адаптивность, постоянно меняя свою инфраструктуру и разрабатывая новые сайты утечки данных, что свидетельствует о его длительной активности и развитии мер обхода защиты.

Для эффективного противостояния угрозе рекомендуется:

• Организовать постоянный мониторинг событий безопасности;
• Внедрять специализированные правила обнаружения, учитывая уникальные особенности AiLock;
• Автоматизировать процессы реагирования на инциденты с использованием Threat Intelligence;
• Обеспечить регулярное резервное копирование данных.

Только комплексный подход позволит снизить риски от использования AiLock и защитить критическую инфраструктуру компании.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.