СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
05.10.2025
#Dev#ИБ

Yurei Ransomware: продвинутый двойной вымогатель для Windows

Yurei Ransomware: продвинутый двойной вымогатель для Windows

Источник: www.cyfirma.com

Новое семейство программ-вымогателей Yurei Ransomware представляет собой сложную и агрессивную угрозу, ориентированную на Windows-среды. По содержанию отчёта, злоумышленники используют современные криптографические схемы и тактики уклонения от обнаружения, что значительно осложняет расследования и восстановление данных пострадавших организаций.

Краткий обзор

«Yurei Ransomware представляет собой сложную и агрессивную угрозу в среде вредоносного программного обеспечения, использующую передовые тактики и методы для эффективного компрометирования систем.»

Ключевые характеристики Yurei включают быстрый алгоритм шифрования файлов, механизмы удаления резервных копий и системных журналов, а также функции для перемещения по сети и последующего распространения. Отдельно отмечается использование двойной тактики вымогательства: шифрование данных и угроза утечки конфиденциальной информации.

Технические особенности

  • Язык разработки: Go — прицел на Windows-платформу.
  • Метод шифрования: комбинация ChaCha20 для шифрования файлов и ECIES для управления ключами, что затрудняет восстановление без вмешательства злоумышленника.
  • Для каждого файла используется уникальный ключ ChaCha20; затронутым файлам добавляется расширение .Yurei.
  • Удаление Shadow Copies и системных резервных копий для отключения возможностей восстановления.
  • Меры против криминалистики: удаление журналов событий Windows и других системных логов с использованием PowerShell.
  • Самоуничтожение полезной нагрузки после выполнения — механизм для усложнения судебно-медицинского анализа.
  • Признаки частичного повторного использования кода из проекта Prince ransomware, что указывает на связь в поведенческих и кодовых шаблонах между семействами.

Механизмы распространения и латерального перемещения

  • Перемещение внутри сети с использованием учетных данных и инструментов, таких как PSCredential и PsExec, для удалённого выполнения команд.
  • Распространение через USB-накопители и доступные для записи общие ресурсы SMB, что обеспечивает быстрое заражение смежных систем.
  • После компрометации злоумышленники оставляют вымогательскую записку README_Yurei.txt в каждом зашифрованном каталоге и изменяют обои рабочего стола для демонстрации атаки.

Операционные последствия и тактика вымогательства

Yurei сочетает классическое шифрование файлов с угрозой публичной утечки данных, что усиливает давление на жертв. Уничтожение логов и резервных копий, а также самоуничтожающаяся архитектура осложняют процессы реагирования и восстановления.

  • Двойное вымогательство: требование выкупа + угроза слива данных.
  • Затруднённое восстановление из-за удаления Shadow Copies и использования сильной криптографии.
  • Снижение доступности информации для судебно-медицинских команд из‑за целенаправленного удаления логов и следов.

Что это значит для организаций

Yurei демонстрирует сочетание технической сложности и оперативной эффективности, создавая серьёзные вызовы для команд по кибербезопасности. Связь с ранее наблюдаемыми разработками программ-вымогателей подчёркивает постоянно эволюционирующий характер угроз и практику повторного использования успешных компонентов.

Рекомендации по снижению риска

  • Поддерживать актуальные резервные копии и хранить их оффлайн или в недоступных для записи местах.
  • Ограничить и мониторить доступ по учётным данным, внедрить многофакторную аутентификацию.
  • Ограничить использование административных инструментов (PsExec и подобные) и отслеживать их применение.
  • Отключить автоматный доступ к общим ресурсам SMB для неподтверждённых устройств; контролировать использование USB-устройств.
  • Настроить централизованный сбор логов и приточно-избыточные каналы хранения, чтобы предотвратить их локальное удаление.
  • Проводить регулярные учения по реагированию на инциденты и иметь план восстановления после атак с вымогательством.

Заключение

Yurei Ransomware — это продвинутая и адаптивная угроза, сочетающая сложную криптографию, тактики уклонения и оперативные механизмы распространения. Для уменьшения последствий атак необходимы проактивные меры контроля доступа, управление резервными копиями, мониторинг использования административных инструментов и готовность команд к быстрому реагированию.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: