NailaoLocker v7: анализ шифрования, механизмов и уязвимостей

В феврале 2025 года исследователи безопасности зафиксировали появление новой программы-вымогателя NailaoLocker. Отчёты нескольких вендоров раскрывают ее ключевые механизмы: от особенностей шифрования и приемов уклонения от обнаружения до следов, которые оставляет вредонос на системе. Ниже — сжатая, но технически точная сводка по обнаруженным свойствам и оценка рисков.

Ключевые технические характеристики

• Идентификация: для конкретного проанализированного образца указан хэш-значение SHA256, используемое как уникальный идентификатор и IOC.
• Метод кодирования: применение однобайтового XOR (0x3F) к отдельным элементам данных — в частности, к именам файлов и значениям конфигурации, расположенным в пределах определённой области данных исполняемого файла.
• Криптография: статически связанная библиотека OpenSSL 3.3.2 используется для шифрования; реализован типичный для вымогателей подход — шифрование только начальной части файлов (первые 65 536 байт).
• Журналирование: программа генерирует лог-файл по пути %ProgramData%lock.log, где фиксирует операции, включая процесс шифрования.
• Механизмы уклонения: перехватчики API применяются для функции GetModuleHandleExW на ранней стадии выполнения, что призвано затруднить обнаружение со стороны EDR-инструментов.
• Двойная функциональность: у варианта реализована возможность расшифровки с помощью закрытого ключа RSA, который хранится рядом с открытым ключом, использованным при шифровании.
• Версионность и мьютекс: рассмотренный образец обозначен как NailaoLocker v7; найден и другой образец, связанный с более старой версией v3, указывающийся мьютексом Globallockedv3.

Поведение и следы на системе

NailaoLocker реализует селективное шифрование: он шифрует лишь начальную часть файлов размером более 65 536 байт, оставляя остальную часть в открытом виде. Такое поведение ускоряет процесс шифрования, но одновременно нарушает целостность заголовков и может облегчить восстановление части данных для специалистов, хотя и не гарантирует полного восстановления.

В директориях с зашифрованными файлами создаются текстовые файлы-угрозы; по содержанию и структуре HTML-комментариев эти уведомления схожи с теми, которые приписывают программе-вымогателю Kodex. Логи операций записываются в %ProgramData%lock.log, что служит одним из артефактов компрометации.

«Наличие закрытого ключа рядом с открытым ключом, первоначально использовавшимся для шифрования, усложняет ситуацию жертвы, поскольку они могут полагать, что у них есть возможный метод восстановления.»

Оценка уровня угрозы

• NailaoLocker обладает явным потенциалом как программа-вымогатель, но по ряду показателей уступает устоявшимся семействам: его скорость шифрования ниже, чем у, например, Lockbit.
• Отсутствие встроенного механизма восстановления при прерывании процесса (например, выключении системы) ставит его в невыгодное положение с точки зрения надежности завершения атаки, по сравнению с более продвинутыми решениями.
• Тем не менее приемы уклонения (API-hooking) и наличие дешифрующей функции делают его опасным и запутывающим для жертв: наличие приватного ключа рядом с публичным может вводить в заблуждение и затягивать принятие решения.

Индикаторы компрометации (IOCs) и артефакты

• Хэш-значение SHA256 анализируемого образца (указано в отчётах как уникальный ID).
• Лог-файл: %ProgramData%lock.log.
• Мьютекс: Globallockedv3 (связанный с версией v3).
• Использование статически связанного OpenSSL 3.3.2 в исполняемом файле.
• Признаки однобайтового XOR (0x3F) в строковых ресурсах/конфигурации исполняемого файла.
• Появление файлов-угроз (ransom notes) с содержанием, похожим на сообщения Kodex.

Рекомендации для защиты и реагирования

• Поддерживайте актуальные и проверенные резервные копии данных; регулярно проверяйте их возможность восстановления.
• Обновляйте правила и сигнатуры EDR/AV, обращая внимание на поведенческие сигнатуры, связанные с перехватом API и аномальной работой GetModuleHandleExW.
• Мониторьте появление и изменения в %ProgramData%lock.log и следите за необычными текстовыми файлами-уведомлениями в пользовательских и общих каталогах.
• Блокируйте и анализируйте непроверенные исполняемые файлы, особенно те, что содержат статически связанные крипто-библиотеки (например, OpenSSL 3.3.2).
• При обнаружении компрометации привлекайте специалистов по инцидент-реагированию и не предпринимайте поспешных попыток оплаты, опираясь на предположение о «возможном» наличии приватного ключа у вредоноса.

В целом NailaoLocker представляет собой интересное сочетание типичных для вымогателей приёмов и специфических особенностей реализации: ускоренное частичное шифрование, простая XOR-обфускация и попытки обхода EDR. Несмотря на это, его технические ограничения (медленнее, отсутствие устойчивого recovery) уменьшают его эффективность по сравнению с лидерами рынка вымогателей, но не исключают реальной угрозы для организаций, не готовых к своевременному выявлению и реагированию.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.