Шифровальщик Cryptonite случайно стал вайпером

Татьяна Никитина 06 Декабря 2022 - 16:16

Домашние пользователи

Программы-шифровальщики

...

Шифровальщик Cryptonite случайно стал вайпером

Новая версия Cryptonite оказалась провальной: при попытке отобразить экран с требованием выкупа происходит крах программы и теряется ключ, необходимый для расшифровки файлов. Как выяснили в Fortinet, виной тому изначальная слабость проекта и отсутствие проверки качества при обновлении кода.

Простейший Windows-шифровальщик Cryptonite до недавнего времени был бесплатно доступен на GitHub как проект с открытым исходным кодом. Зловред написан на Python, и поскольку нет гарантии, что у жертвы окажется нужный интерпретатор, для упаковки зловреда используется PyInstaller, который загружает файлы, необходимые для развертывания Python-кода, в папку со случайным именем в каталоге Temp.

У вредоноса отсутствуют некоторые типовые, но более сложные в реализации функции. Он не умеет удалять теневые копии Windows, прибивать программы для освобождения целевых файлов, уклоняться от обнаружения и анализа.

Запуск шифратора возможен лишь при наличии интернет-связи. Для отвода глаз Cryptonite выводит экран загрузки некоего обновления; индикатор состояния при этом отображает ход выполнения шифрования.

Для выполнения основной задачи зловреду придан модуль Fernet (обеспечивает симметричное шифрование). Файлы жертвы шифруются 128-битным ключом AES, их расширения изменяются на .cryptn8.

Анализ нового образца Cryptonite (уровень детектирования на VirusTotal — 29/70 на 6 декабря) показал, что прежняя заставка с требованием выкупа и полем для оплаченного ключа больше не выводится.

Попытка отобразить ее на экране после шифрования вызывает аварийное завершение программы. Приватный ключ оператору не отсылается, поэтому вернуть данные при всем желании не получится. Более того, у вредоноса не предусмотрен режим расшифровки (decryption-only), при повторном запуске он вновь шифрует файлы, создавая новую пару ключей.

Завершив исследование, аналитики пришли к выводу, что превращение Cryptonite в деструктивного зловреда, по поведению схожего с вайпером, — не новый замысел, а несовершенство проекта и нерадивость разработчика.

Усилиями ИБ-сообщества репозиторий вредоносного кода и четыре десятка форков на GitHub удалены.

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 17 Марта 2026 - 13:26

Трояны Вирусы-майнеры Домашние пользователи Лаборатория Касперского

Россиян заражают через утилиту для обхода блокировок на YouTube

На YouTube появилась новая схема распространения вредоносной программы: злоумышленники выдают зловред за инструмент для обхода блокировок под названием FixIt. По имеющимся данным, программу уже скачали более ста пользователей из России. С конца февраля 2026 года на разных YouTube-каналах начали появляться ролики с рекламой этого якобы полезного инструмента.

На деле вместо обещанного решения для доступа к привычным сервисам пользователи получают сразу два неприятных «подарка» — стилер Arcane и майнер Monero.

Схема выглядит довольно типично, но от этого не менее опасно. Пользователя через видео или поисковую выдачу ведут на сайт, зарегистрированный в феврале 2026 года. Чтобы всё выглядело убедительнее, на ресурсе размещены кнопка скачивания, описание «утилиты» и даже ссылка на Telegram-чат. То есть внешне всё оформлено так, будто речь идёт о вполне обычном сервисе.

После загрузки архива на устройство жертвы устанавливаются вредоносные программы. Arcane собирает логины и пароли, данные из браузеров, сведения о платёжных картах и криптокошельках, а также системную информацию об устройстве. Кроме того, зловред умеет делать скриншоты экрана. Пока всё это происходит, пользователь видит уведомление о якобы идущей загрузке или установке нужного инструмента и может не сразу понять, что происходит на самом деле.

Второй компонент, майнер Monero, использует ресурсы заражённого устройства для скрытой добычи криптовалюты. Иными словами, злоумышленники не только пытаются украсть данные, но и заставляют чужой компьютер работать на себя.

По имеющимся данным, к настоящему моменту опубликовано как минимум 20 видеороликов с рекламой FixIt, а их совокупное число просмотров уже достигло десятков тысяч. Основной целью кампании остаются пользователи из России.

Эксперты отмечают, что такая схема хорошо ложится в уже привычную для киберпреступников логику: брать актуальную и эмоционально заряженную тему, а затем использовать её как приманку. В данном случае злоумышленники играют на желании людей сохранить доступ к привычным сервисам и быстро найти рабочий способ обхода ограничений.

Опасность здесь ещё и в том, что стилеры вроде Arcane умеют собирать очень широкий набор данных — от учётных записей до файлов конфигурации разных приложений. А их функциональность может меняться от версии к версии, так что последствия заражения не всегда ограничиваются только утечкой паролей.

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!