
Вирусы становятся всё умнее, и вот NonEuclid — это новый многозадачный злодей, который объединяет функции RAT (троян удаленного доступа) и шифровальщика. Всё это в одном зловреде, который только что попал в поле зрения экспертов Cyfirma. Появился он в даркнете в конце ноября, а ещё в октябре 2021 года его уже активно обсуждали на подпольных форумах, в том числе русскоязычных, и даже на YouTube и Discord. Вряд ли кто-то из пользователей Windows подозревал, что этот троян не только откроет доступ злоумышленникам, но и зашифрует ваши файлы, требуя выкуп.
Что делает NonEuclid таким опасным? Он не просто проникает на устройства — он защищает себя на всех фронтах. Написанный на C#, он умеет вычислять виртуальные машины и песочницы, и если что-то не так — просто останавливает свою работу. Причём, чтобы избежать детектирования, он добавляет свои файлы в исключения Microsoft Defender, а также убивает процессы, которые могут его разоблачить, такие как taskmgr.exe или processhacker.exe. Это ещё не всё. Троян мастерски обходится с Windows-защитой, патчируя AMSI и скрывая свои следы в памяти.
Но главное — это его способность шифровать данные. NonEuclid не будет заниматься шифровкой всего подряд, но файлы с расширениями вроде .csv, .txt и .php попадут под его руку. Шифрование происходит с использованием AES, а после этого файлы получают опасное расширение .NonEuclid, превращаясь в неприступную крепость. И конечно, для того чтобы оставаться на устройстве как можно дольше, он создаёт задачи в планировщике и вносит изменения в реестр, постоянно пытаясь повысить привилегии и избежать всяких UAC-барьеров. Всё это делает его по-настоящему стойким и опасным противником.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.