Payload Ransomware атакует Windows и Linux-среды организаций

Payload Ransomware, выявленный в феврале 2026 года, представляет собой кроссплатформенную ransomware-угрозу, нацеленную прежде всего на организации среднего и крупного размера. Наиболее уязвимыми оказались компании из сфер healthcare, telecommunications, finance и logistics, а заметная активность семейства зафиксирована на Middle East и в Asia.

По данным отчёта, эта семья программ-вымогателей включает как Windows, так и Linux-варианты. При этом версия для Windows демонстрирует особенно сложное поведение и набор функций, ориентированных на скрытность, устойчивость к анализу и затруднение восстановления данных.

Windows-версия: управление, скрытность и антифорензика

Windows-вариант работает как исполняемый файл, который может запускаться вручную или удалённо с использованием различных command-line arguments. Это позволяет операторам адаптировать его функциональность под конкретную среду цели.

Среди ключевых особенностей отмечаются:

• возможность работы в фоновом режиме;
• обход проверок mutex для разрешения нескольких экземпляров;
• отключение критически важных мер операционной безопасности, включая запись в Event Log;
• самосокрытие путём переименования в альтернативный поток данных NTFS;
• очистка журналов событий Windows;
• завершение работы критических system services перед началом шифрования;
• удаление всех shadow copies томов;
• выявление и завершение конкретных процессов, мешающих выполнению вредоносного кода.

Такая комбинация техник показывает, что Payload Ransomware ориентирован не только на шифрование данных, но и на системное подавление механизмов защиты, мониторинга и восстановления. В результате жертва лишается как стандартных средств обнаружения инцидента, так и привычных путей возврата к доступным копиям данных.

Криптография и структура шифрования

Процесс шифрования использует гибридную схему, сочетающую Curve25519 для обмена ключами и ChaCha20 для быстрого шифрования файлов. Каждый файл шифруется уникальным ключом, а к нему добавляется структурированный метаданный tail, содержащий спецификации шифрования.

Этот tail помечается расширением .payload и предназначен для последующего дешифрования на стороне атакующего. Для усложнения анализа он подвергается обфускации, что дополнительно затрудняет исследование образца и построение средств восстановления.

«Шифровальщик обеспечивает самосокрытие и последовательно разрушает стандартные механизмы расследования и восстановления», — следует из описания поведения семейства.

Linux-вариант и фокус на VMware ESXi

Linux-версия Payload Ransomware предназначена в первую очередь для сред VMware ESXi. В отличие от Windows-варианта, её функциональность упрощена и сосредоточена исключительно на эффективном шифровании размещённых рабочих нагрузок.

Хотя этот вариант не обладает столь же развитыми механизмами противодействия восстановлению, как версия для Windows, он сохраняет общие принципы проектирования и схожие криптографические подходы. Это указывает на единое семейство с адаптацией под разные инфраструктурные среды.

Вывод

Payload Ransomware демонстрирует признаки зрелого ransomware-семейства: кроссплатформенность, развитые механизмы скрытности, антифорензика, удаление возможностей восстановления и использование современной криптографии. С учётом фокуса на healthcare, telecommunications, finance и logistics, а также активности в Middle East и Asia, угроза требует повышенного внимания со стороны организаций, использующих как Windows, так и Linux инфраструктуру, включая VMware ESXi.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.