В конце 2025 года аналитики компании F6 зафиксировали нетипичный для текущего ландшафта угроз образец вредоносного ПО. На первый взгляд он напоминал классический шифровальщик-вымогатель, однако детальный анализ показал: никакого шифрования файлов не происходит. Вместо этого используется винлокер (winlocker) — малварь, блокирующая доступ к операционной системе и имитирующая последствия атаки ransomware.
От шифровальщиков к винлокерам: почему старые схемы возвращаются
Блокировщики как класс вымогательского ПО практически вышли из массового оборота после 2015 года. Их вытеснили шифровальщики, способные реально зашифровать пользовательские данные и, как следствие, приносить злоумышленникам более высокий доход. Тем не менее, винлокеры по-прежнему остаются привлекательными для части киберпреступников: они проще в разработке, дешевле в поддержке инфраструктуры и ориентированы прежде всего на домашних пользователей и малый бизнес.
Обнаруженный образец, маскирующийся под «шифровальщик Legion», показывает, что подобные схемы не ушли в прошлое. В вымогательской записке утверждается, что «файлы и диски зашифрованы командой Legion», однако на практике вредонос ограничивается лишь блокировкой интерфейса ОС и перехватом системных сочетаний клавиш.
Связь винлокера Legion с группировкой NyashTeam
При анализе заметок с требованием выкупа и артефактов внутри бинарного файла специалисты F6 выявили устойчивые пересечения с деятельностью киберпреступной группировки NyashTeam. Эта группа, по данным исследователей, активна как минимум с 2022 года и специализируется на модели Malware-as-a-Service (MaaS), предоставляя клиентам готовые инструменты для атак.
Косвенно на русскоязычное происхождение разработчика указывает PDB-путь внутри файла: C:\Users\123quig\Desktop\Новая папка\obj\Release\net40\lc.pdb. Ранее клиенты NyashTeam атаковали пользователей более чем в 50 странах, при этом основной массив жертв приходился на Россию. Летом 2025 года аналитики F6 уже блокировали инфраструктуру группы, отключив свыше 110 доменов в зоне .ru.
Технический разбор винлокера: имитация шифрования и обход анализа
Anti-VM и защита от песочниц
Вредонос оснащен модулем Anti-VM, который проверяет, запущен ли он в виртуальной среде или песочнице. Если обнаруживаются признаки анализа — например, имя компьютера или производитель содержат строки наподобие «VPS», «vmware», «VirtualBox» — программа завершает работу с ошибкой. Подобный подход осложняет статический и динамический анализ для исследователей и антивирусных систем.
Механизм блокировки системы
После запуска малварь создает вымогательские записки на доступных дисках, начиная с D: и дальше, а затем показывает пользователю поддельное окно «загрузки ОС» с якобы критическими ошибками. Никакой перезагрузки и шифрования в реальности не происходит — это исключительно визуальная имитация.
Ключевая функция винлокера — перехват системных сочетаний клавиш, таких как Ctrl+Alt+Del, Alt+F4 и Win+L. Попытка вызвать «Диспетчер задач» или заблокировать систему приводит только к дальнейшей блокировке интерфейса. Таким образом, пользователь фактически теряет возможность управлять ОС без ввода кода разблокировки.
Схема генерации кода разблокировки
Программа формирует идентификатор зараженного компьютера на основе времени запуска. Код разблокировки строится по предсказуемой формуле: nyashteam***0c0v11 + время запуска. После ввода корректного кода винлокер удаляет себя из автозагрузки и завершает работу. Такая схема подтверждает, что целью атак является вымогательство, а не уничтожение данных.
Эволюция кампаний: от CryptoBytes до Legion и WebRAT
Дополнительный анализ показал, что аналогичные винлокеры использовались в атаках еще в июле 2022 года. Тогда в записках фигурировало название CryptoBytes hacker group, а сам винлокер продавался через ресурс winlocker-site[.]github[.]io, который перенаправлял на домен winlocker[.]ru. Ряд аккаунтов, упомянутых в заметках 2022–2023 годов, к моменту исследования уже был неактивен, однако аккаунт продавца @Haskers*** продолжает функционировать. В записках 2025 года появляется новый контакт @nyashteam***, что логично связывает кампанию с NyashTeam.
После частичного демонтажа инфраструктуры в июле 2025 года аналитики F6 продолжили мониторинг активности группировки. С июля 2025 по январь 2026 года админ-панели WebRAT — усовершенствованной версии SalatStealer, совмещающей функции стилера и RAT (удаленного доступа) — обнаруживались на доменах salator[.]es, webrat[.]uk, wrat[.]in, salat[.]cn, salator[.]ru. Группа по-прежнему регистрирует домены с вариациями слов webrat и salat, что может служить дополнительным индикатором компрометации (IoC) для служб ИБ.
Методы распространения: кряки и читы для игр как наживка
Исследование связанной с этими доменами инфраструктуры позволило выявить вредоносные ссылки и семплы, детектируемые как SalatStealer. Судя по именам файлов и контексту, для доставки малвари активно использовались файлообменники, а сами исполняемые файлы маскировались под кряки и читы для популярных игр, включая CS2 и Roblox. Такая схема социальной инженерии традиционно нацелена на подростков и геймерское сообщество, где уровень критичности к источникам загрузок часто ниже корпоративных стандартов безопасности.
Проведенный анализ показывает, что NyashTeam не прекратила свою деятельность после частичной блокировки инфраструктуры. Группировка продолжает продвигать винлокеры, стилеры и RAT-решения, сохраняя прежнюю модель MaaS и подход к построению доменной инфраструктуры. Даже относительно простой винлокер Legion оснащен защитными механизмами против анализа и виртуализации, что свидетельствует о целенаправленном развитии инструментов и адаптации к мерам противодействия.
Организациям и частным пользователям рекомендуется усиливать базовую цифровую гигиену: загружать ПО только с официальных источников, блокировать доступ к подозрительным файлообменникам, использовать актуальные решения EDR/антивирус, отслеживать новые индикаторы компрометации, связанные с доменами вида webrat*/salat*. Регулярное обучение пользователей, особенно тех, кто активно использует игры и неофициальные модификации, остается одним из наиболее эффективных инструментов снижения риска заражения подобными винлокерами и стилерами.
