Наприкінці 2025 року аналітики компанії F6 зафіксували нетиповий для сучасних атак зразок шкідливого ПЗ. На перший погляд це був класичний шифрувальник-вимагач (ransomware), однак детальний аналіз показав: ніякого шифрування файлів не відбувається. Перед дослідниками – винлокер Legion, який лише блокує доступ до операційної системи та імітує наслідки атаки ransomware.
Від шифрувальників до winlocker: чому прості схеми знову в тренді
Після 2015 року більшість кібератак із вимаганням грошей перейшли від винлокерів до повноцінних шифрувальників, здатних реально шифрувати користувацькі дані та завдавати бізнесу відчутних збитків. За оцінками галузевих звітів, на ransomware сьогодні припадає значна частка інцидентів з шкідливим ПЗ у корпоративному секторі.
Попри це, винлокери залишаються привабливими для частини зловмисників. Вони простіші у розробці, не потребують складної криптографії й інфраструктури для зберігання ключів шифрування та орієнтовані насамперед на домашніх користувачів і малий бізнес. Legion саме такий приклад: у записці заявлено, що «усі файли та диски зашифровані командою Legion», але на практиці відбувається лише блокування інтерфейсу ОС і перехоплення системних комбінацій клавіш.
NyashTeam та модель Malware-as-a-Service
Аналіз тексту вимог викупу та артефактів усередині виконуваного файлу виявив сталі збіги з активністю кібераргрупи NyashTeam, яка щонайменше з 2022 року працює за моделлю Malware-as-a-Service (MaaS). Така схема передбачає, що розробники продають або здають в оренду готові набори інструментів іншим злочинцям.
На ймовірне російськомовне походження розробника вказує PDB-шлях у файлі: C:\Users\123quig\Desktop\Новая папка\obj\Release\net40\lc.pdb. За даними F6, клієнти NyashTeam атакували користувачів більш ніж у 50 країнах, причому основний масив жертв припадав на Росію. Улітку 2025 року фахівці вже проводили частковий демонтаж інфраструктури цієї групи, заблокувавши понад 110 доменів у зоні .ru.
Технічний аналіз винлокера Legion
Anti-VM та протидія аналізу
Legion обладнаний модулем Anti-VM, що перевіряє ознаки запуску у віртуальній машині або пісочниці. Якщо виявляються підозрілі рядки в імені комп’ютера чи виробника на кшталт «VPS», «vmware», «VirtualBox», програма завершує роботу з помилкою. Це ускладнює як статичний, так і динамічний аналіз з боку дослідників та систем захисту.
Механізм блокування доступу до ОС
Після запуску винлокер створює вимогливі записки на доступних дисках, починаючи з D: і далі, а потім демонструє користувачу фальшиве вікно «завантаження ОС» з буцімто критичними помилками. Насправді жодного перезапуску, зміни системних файлів чи шифрування не відбувається – це лише психологічний тиск і візуальна імітація серйозного збою.
Критична функція Legion – перехоплення системних комбінацій клавіш, зокрема Ctrl+Alt+Del, Alt+F4, Win+L. Спроба викликати «Диспетчер завдань» або заблокувати систему призводить лише до подальшого блокування інтерфейсу. Без введення коду розблокування користувач фактично втрачає контроль над робочим столом.
Формування коду розблокування
Ідентифікатор зараженого пристрою генерується на основі часу запуску шкідливої програми. Код для розблокування обчислюється за передбачуваною формулою виду nyashteam***0c0v11 + час запуску. Після введення правильного коду винлокер видаляє себе з автозавантаження та припиняє роботу. Така логіка підтверджує, що мета операторів – саме вимагання грошей, а не знищення даних.
Еволюція кампаній: від CryptoBytes до WebRAT і SalatStealer
Додатковий аналіз показав, що схожі винлокери застосовувалися ще у липні 2022 року під брендом CryptoBytes hacker group. Тоді продукт поширювався через ресурс winlocker-site[.]github[.]io з перенаправленням на winlocker[.]ru. Частина згаданих у записках акаунтів сьогодні вже неактивна, проте обліковий запис продавця @Haskers*** досі функціонує. У записках 2025 року з’являється новий контакт @nyashteam***, що логічно пов’язує кампанію з NyashTeam.
Після часткового блокування інфраструктури в липні 2025 року група не припинила діяльність. У період з липня 2025 по січень 2026 року адмін-панелі WebRAT – розширеної версії SalatStealer, яка поєднує функції стилера та RAT – виявлялися на доменах salator[.]es, webrat[.]uk, wrat[.]in, salat[.]cn, salator[.]ru. Реєстрація доменів з варіаціями слів webrat і salat може розглядатися як індикатор компрометації (IoC) для служб кібербезпеки.
Методи розповсюдження: кряки та чити до ігор як приманка
Дослідження пов’язаної інфраструктури виявило шкідливі посилання та файли, які визначаються захисними рішеннями як SalatStealer. Використовувалися файлові обмінники, а виконувані файли маскувалися під кряки та чити для популярних ігор – зокрема CS2 та Roblox. Такий підхід соціальної інженерії традиційно націлений на підлітків і геймерську аудиторію, де рівень недовіри до «безкоштовних» модифікацій нижчий, ніж у корпоративному середовищі.
Сукупність отриманих даних свідчить, що NyashTeam продовжує розвивати лінійку інструментів – від винлокерів на кшталт Legion до стилерів і RAT-рішень, підтримуючи модель MaaS і стабільну доменну інфраструктуру. Навіть відносно простий винлокер оснащений Anti-VM та іншими захисними механізмами, що демонструє адаптацію зловмисників до сучасних методів захисту. Користувачам і організаціям варто завантажувати ПЗ лише з офіційних джерел, блокувати доступ до сумнівних файлообмінників, використовувати актуальні EDR/антивірусні рішення, відстежувати IoC, пов’язані з доменами webrat*/salat*, та регулярно навчати співробітників і геймерську аудиторію основам кібергігієни, щоб мінімізувати ризик зараження винлокерами й стилерами.
