Специалисты компании F6 обнаружили подозрительный исполняемый файл, который выглядел как шифровальщик. После анализа стало ясно, что это блокировщик, который маскируется под программу-вымогатель.
Программы-блокировщики утратили популярность с 2015 года, уступив дорогу более выгодному вредоносному ПО, которые шифрует данные и требует выкуп за расшифровку. Тем не менее некоторые злоумышленники всё ещё прибегают к старым методам, поскольку создание подобного инструмента обходится гораздо дешевле и требует меньше усилий.
Аналитики F6 заметили пересечения с группировкой NyashTeam, которая активна с 2022 года и предлагает свои услуги по созданию и продаже вредоносного программного обеспечения.
Согласно исследованию, вредонос имитировал шифровальные операции, препятствуя работе всей системы, но не затрагивая сами файлы. Программа оснащена функцией проверки наличия виртуальных машин: если компьютер работает в виртуализированной среде, система немедленно останавливает выполнение процесса. Среди возможных признаков такой среды называются имена типа «VPS», «vmware», «VirtualBox».
После заражения устройства вирус создаёт специальные уведомления-записки с требованием выплаты выкупа, попутно сканируя доступные диски. В завершение пользователю демонстрируется сообщение об ошибке и искусственно воспроизводится процесс загрузки операционной системы, несмотря на отсутствие реальных изменений.
Блокировщик препятствует эксплуатации системы путём перехвата комбинаций горячих клавиш (Ctrl+Alt+Del, Alt+F4) и блокировки стандартных команд операционной системы (например, Win+L).
Код для снятия блокировки формируется следующим образом: nyashteam***0c0v11 плюс точное время активации вредоносного ПО. После введения правильного ключа вредонос самостоятельно деактивируется и прекращает функционирование.
Блокировщик использовался злоумышленниками задолго до текущего инцидента. Первый аналогичный экземпляр появился ещё летом 2022 года, когда злоумышленники подписывались именем CryptoBytes hacker group. Известно, что примерно в это же время подобный вредонос находился в открытой продаже на платформе winlocker-site[.]github[.]io, откуда вёл переадресацию на сайт winlocker[.]ru.
Параллельно с публикацией исследовательского отчета и ликвидацией инфраструктурных элементов группировки NyashTeam в июле 2025 года аналитики продолжали следить за действиями злоумышленников. Согласно наблюдениям, в период с июля 2025 по январь 2026 года администраторские панели усовершенствованной версии WebRAT периодически всплывали на доменах salator[.]es, webrat[.]uk, wrat[.]in, salat[.]cn, salator[.]ru. На сегодняшний день группировка сохраняет привычку регистрировать новые домены, включающие элементы названия "webrat" и "salat".
Расследование взаимосвязей между этими доменами позволило выявить вредоносные ссылки и образцы малвари, идентифицированной как SalatStealer. Анализ путей распространения показал, что в ход шли файлообменники. Изучив наименования используемых файлов, стало ясно, что вредонос внедрялся под прикрытием нелегальных патчей и игровых читов.
Итоговая оценка ситуации подтверждает, что разоблачение деятельности NyashTeam и уничтожение части инфраструктуры в прошлом году не привели к свертыванию их деятельности. Злоумышленники сохраняют приверженность своей стратегии и продолжают распространять вредоносное ПО, используя аналогичные подходы к подбору площадок для хостинга и распределения. Блокировочный вирус, несмотря на простоту архитектуры, оснащен механизмами самозащиты, затрудняющими его обнаружение и анализ специалистами.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.