Программа-вымогатель Cortizol

Масштабы и сложность вредоносных программ продолжают расти, что делает крайне важным для отдельных лиц и организаций поддержание надежной защиты на всех устройствах. Программы-вымогатели, в частности, представляют серьезную опасность, поскольку они не только ставят под угрозу конфиденциальность данных, но и нарушают доступность, блокируя пользователям доступ к их собственным файлам. Одной из недавно проанализированных угроз, иллюстрирующих эти опасности, является Cortizol Ransomware — сложный штамм вредоносного ПО для шифрования файлов, предназначенный для вымогательства денег у жертв путем запугивания и технических манипуляций.

Cortizol Ransomware: Схема шифрования, основанная на расчетах.

Вирус-вымогатель Cortizol был обнаружен в ходе детального исследования вредоносного ПО, проведенного специалистами по информационной безопасности. После запуска в системе вирус-вымогатель шифрует файлы и изменяет их имена по уникальному шаблону. К каждому зашифрованному файлу добавляется идентификатор жертвы, контактный адрес электронной почты и расширение '.Cortizol'. Например, файл, первоначально названный '1.png', переименовывается в '1.png-id-6640599815[cortizol@atomicmail.io].Cortizol', а '2.pdf' становится '2.pdf-id-6640599815[cortizol@atomicmail.io].Cortizol'.

Эта система переименования служит двум целям: она четко сигнализирует о том, что файлы были захвачены, и содержит идентификационные данные, которые злоумышленники используют для отслеживания жертв. Помимо шифрования файлов, Cortizol изменяет обои рабочего стола, чтобы усилить видимость атаки, и оставляет записку с требованием выкупа под названием «HOW_TO_RECOVER.txt», гарантируя, что жертва не сможет пропустить инцидент.

Записка с требованием выкупа и психологическое давление

В записке с требованием выкупа утверждается, что все файлы на взломанной системе зашифрованы, и расшифровка невозможна без уникального закрытого ключа, которым располагают злоумышленники. Жертв предупреждают, что любая попытка использовать сторонние инструменты расшифровки или переименовать зашифрованные файлы приведет к необратимому повреждению данных. Такие предупреждения являются распространенной психологической тактикой, призванной отбить охоту к самостоятельным попыткам восстановления.

Cortizol инструктирует жертв найти файл с именем «key.Cortizol», предположительно хранящийся в каталоге «C:\ProgramData\» или на других дисках, и отправить его злоумышленникам. В записке также содержится предостережение против переустановки или модификации операционной системы Windows без сохранения этого ключевого файла, поскольку несоблюдение инструкций грозит необратимой потерей данных. Каналы связи включают адрес электронной почты cortizol@atomicmail.io
а также учетная запись в Telegram под названием Cortizol2025. Такой многоканальный подход к взаимодействию повышает вероятность того, что жертвы выполнят требования.

Хотя злоумышленники настаивают на том, что покупка закрытого ключа — единственный способ восстановить доступ, опыт в области кибербезопасности неизменно показывает, что выплата выкупа не гарантирует восстановления файлов. Киберпреступники могут не предоставить работающий инструмент расшифровки или просто прекратить общение после оплаты.

Векторы заражения и методы доставки

Вирус-вымогатель Cortizol распространяется с использованием множества хорошо зарекомендовавших себя методов распространения. Фишинговые электронные письма остаются одним из наиболее эффективных способов доставки, часто содержащим вредоносные вложения или встроенные ссылки, которые запускают загрузку вредоносного ПО. Поддельные схемы технической поддержки и методы социальной инженерии еще больше увеличивают вероятность взаимодействия с пользователем.

Злоумышленники также распространяют программы-вымогатели через пиратское программное обеспечение, взломанные программы и генераторы ключей, полученные из неофициальных или пиринговых сетей обмена файлами. Взломанные веб-сайты, обманчивая реклама, зараженные USB-накопители и использование уязвимостей в устаревшем программном обеспечении предоставляют дополнительные точки входа. Вредоносная нагрузка обычно скрывается в исполняемых файлах, скриптах, сжатых архивах, таких как ZIP или RAR, или в кажущихся легитимными документах, включая файлы Word, Excel и PDF. Такое сочетание вредоносного кода с привычными форматами повышает вероятность успешного заражения.

Последствия и риски после заражения

После активации Cortizol не только шифрует доступные файлы, но и может продолжать сканирование на предмет дополнительных данных для компрометации. Если его не удалить, программа-вымогатель может распространяться по подключенным системам в одной сети, усиливая сбои в работе и финансовый ущерб. Чем дольше вредоносное ПО остается на устройстве, тем выше риск расширения шифрования и потенциального развертывания вторичной полезной нагрузки.

Восстановление без закрытого ключа злоумышленников, как правило, невозможно, если нет надежных, неповрежденных резервных копий. По этой причине организации и отдельные пользователи, имеющие надежные автономные или облачные резервные копии, гораздо лучше подготовлены к восстановлению работы, не поддаваясь вымогательству.

Усиление защиты от программ-вымогателей

Эффективная защита от таких угроз, как Cortizol, требует многоуровневого подхода к безопасности, сочетающего технические средства защиты с осведомленностью пользователей. Следующие методы значительно снижают риск заражения программами-вымогателями:

• Регулярно создавайте автоматические резервные копии, хранящиеся в автономном режиме или в защищенных облачных средах, изолированных от основной системы.
• Регулярно обновляйте операционные системы, приложения и программное обеспечение безопасности, чтобы устранять известные уязвимости.
• Используйте проверенные решения для защиты конечных точек, способные обнаруживать закономерности поведения программ-вымогателей.
• Избегайте загрузки пиратского программного обеспечения или файлов из неофициальных источников и пиринговых сетей.
• Будьте осторожны при работе с вложениями в электронных письмах или переходе по ссылкам, особенно от неизвестных или неожиданных отправителей.
• Отключайте макросы в документах Office, если это не является абсолютно необходимым и не подтверждено как безопасное.

В дополнение к этим мерам, оперативное удаление обнаруженного вируса-вымогателя имеет решающее значение для предотвращения дальнейшего шифрования файлов или распространения по сети. Процедуры реагирования на инциденты должны включать изоляцию затронутой системы от сети, проведение тщательного сканирования на наличие вредоносных программ и восстановление чистых данных из резервных копий, если таковые имеются.

Программа-вымогатель Cortizol демонстрирует, как современные программы-вымогатели сочетают в себе технические механизмы шифрования с социальной инженерией и психологическим давлением. Проактивные меры безопасности в сочетании с надежными стратегиями резервного копирования данных остаются наиболее эффективными средствами противодействия таким развивающимся киберугрозам.