Сначала бэкапы, потом 1С. Как шифровальщик C77L лишает российский бизнес шансов на восстановление
NewsMakerИстория успеха (и вреда) нового шифровальщика, который заменил закрытый Phobos.
В начале 2026 года исследователи заметили короткую паузу в активности персидских вымогательских группировок, которую связывают с геополитическим кризисом на Ближнем Востоке. Пока одни снижали темп, нишу быстро заняли конкуренты вроде VoidCrypt (Ouroboros). Но расслабляться рано: как только внешнее давление спадает, такие группы обычно возвращаются к «работе» и нередко приносят с собой обновлённый инструментарий и новые версии шифровальщиков.
На российском рынке вымогателей конкуренция особенно плотная: место «закрытых» программ быстро занимают новые. После того как в феврале 2025 года правоохранители прикрыли одну из заметных партнёрских программ Phobos, уже в марте появилась восточная RaaS-схема C77L. С момента её появления партнёры C77L провели как минимум 40 атак на организации в России и Беларуси, причём чаще всего страдали компании малого и среднего бизнеса из торговли, производства и сферы услуг, хотя среди жертв встречались и госструктуры.
По своей «родословной» C77L выглядит типично для восточных партнёрских программ: они часто вырастают вокруг конкретных семейств шифровальщиков и пересекаются по участникам. В данном случае исследователи предполагают связь C77L с экосистемой Proton: ещё в атаках Proton в 2024 году встречалось расширение c77L для зашифрованных файлов, а часть контактов атакующих повторяется и в других партнёрках, прежде всего в Proton и Sauron. Внутри таких схем нередко работают «многостаночники», которые параллельно участвуют сразу в нескольких программах.
Сама C77L тоже развивается быстро: с марта 2025 года разработчики успели выпустить пять версий, и ранние сборки долго оставались основным выбором партнёров, атакующих Россию, с маркером файлов EncryptedByC77L. Однако уже в ноябре 2025 года фиксировались инциденты с последней версией, а в начале января 2026 года попался свежий образец, где авторы подправили часть ошибок и слегка изменили структуру метаданных. По итогам 2025 года C77L заняла шестое место по числу атак среди вымогательских семейств.
В начале 2026 года исследователи заметили короткую паузу в активности персидских вымогательских группировок, которую связывают с геополитическим кризисом на Ближнем Востоке. Пока одни снижали темп, нишу быстро заняли конкуренты вроде VoidCrypt (Ouroboros). Но расслабляться рано: как только внешнее давление спадает, такие группы обычно возвращаются к «работе» и нередко приносят с собой обновлённый инструментарий и новые версии шифровальщиков.
На российском рынке вымогателей конкуренция особенно плотная: место «закрытых» программ быстро занимают новые. После того как в феврале 2025 года правоохранители прикрыли одну из заметных партнёрских программ Phobos, уже в марте появилась восточная RaaS-схема C77L. С момента её появления партнёры C77L провели как минимум 40 атак на организации в России и Беларуси, причём чаще всего страдали компании малого и среднего бизнеса из торговли, производства и сферы услуг, хотя среди жертв встречались и госструктуры.
По своей «родословной» C77L выглядит типично для восточных партнёрских программ: они часто вырастают вокруг конкретных семейств шифровальщиков и пересекаются по участникам. В данном случае исследователи предполагают связь C77L с экосистемой Proton: ещё в атаках Proton в 2024 году встречалось расширение c77L для зашифрованных файлов, а часть контактов атакующих повторяется и в других партнёрках, прежде всего в Proton и Sauron. Внутри таких схем нередко работают «многостаночники», которые параллельно участвуют сразу в нескольких программах.
Сама C77L тоже развивается быстро: с марта 2025 года разработчики успели выпустить пять версий, и ранние сборки долго оставались основным выбором партнёров, атакующих Россию, с маркером файлов EncryptedByC77L. Однако уже в ноябре 2025 года фиксировались инциденты с последней версией, а в начале января 2026 года попался свежий образец, где авторы подправили часть ошибок и слегка изменили структуру метаданных. По итогам 2025 года C77L заняла шестое место по числу атак среди вымогательских семейств.