Старый трюк из эпохи WannaCry убил The Gentlemen — самый активный вымогатель 2026 года
NewsMakerХакеров обыграли их же кодом. Эксперты нашли способ спасти данные без уплаты выкупа.
Жертвы вымогателя The Gentlemen впервые получили шанс вернуть свои файлы без оплаты выкупа. Канадская компания Bedrock Safeguard сообщила о публичном способе расшифровки данных, зашифрованных этим семейством, которое также известно как hastalamuerte и к первому кварталу 2026 года набрало более 320 подтверждённых жертв.
По данным Bedrock Safeguard, The Gentlemen сейчас остаётся одной из самых активных RaaS -группировок. Ранее крупные компании, включая Cybereason, Group-IB, Check Point, ASEC и Trend Micro, считали схему шифрования практически неуязвимой с криптографической точки зрения. Авторы нового отчёта подчёркивают, что сам алгоритм взломан не был. Слабым местом оказалась его реализация.
The Gentlemen использует потоковое шифрование XChaCha20 и обмен ключами X25519 ECDH. Для каждого файла создаётся отдельная временная пара ключей, поэтому прямой подбор не имеет смысла. Однако вредонос написан на Go, а среда выполнения языка не очищает криптографические данные из стека горутин и памяти после завершения операций. В результате временные приватные ключи могут сохраняться в памяти процесса всё время, пока шифровальщик работает.
Bedrock Safeguard утверждает, что одного дампа памяти процесса достаточно, чтобы извлечь ключи для расшифровки файлов. В тесте команда восстановила 35 из 35 файлов со 100-процентной точностью, а поиск всех ключей занял 0,6 секунды. Такой дамп мог сохраниться в EDR или XDR-системах, у группы реагирования на инцидент, в Windows Error Reporting, аварийных дампах, полном снимке оперативной памяти или файле гибернации.
Компания также опубликовала признаки компрометации. Среди них записка README-GENTLEMEN.txt, хвост файла с маркером GENTLEMEN, случайное расширение зашифрованных файлов, удаление теневых копий через vssadmin и wmic, добавление исключений Windows Defender, удаление Prefetch-файлов, остановка служб баз данных, резервного копирования и защиты, а также смена обоев на gentlemen.bmp.
Отчёт связывает работу с более ранним восстановлением ключей WannaCry, которое в 2017 году описал Адриен Гине. По версии Bedrock Safeguard, новая публикация стала первым открытым примером извлечения временных X25519-ключей из памяти против семейства вымогателей. О находке уведомили Канадский центр кибербезопасности и RCMP NC3. Компания также представила открытый сервис Bedrock RansomGuard , который должен автоматически замечать шифрование и сохранять память процесса, пока ключи ещё можно извлечь. Аналогичный подход — публичный дешифратор как итог анализа слабой криптореализации — ранее применялся против шифровальщика FunkSec.
Жертвы вымогателя The Gentlemen впервые получили шанс вернуть свои файлы без оплаты выкупа. Канадская компания Bedrock Safeguard сообщила о публичном способе расшифровки данных, зашифрованных этим семейством, которое также известно как hastalamuerte и к первому кварталу 2026 года набрало более 320 подтверждённых жертв.
По данным Bedrock Safeguard, The Gentlemen сейчас остаётся одной из самых активных RaaS -группировок. Ранее крупные компании, включая Cybereason, Group-IB, Check Point, ASEC и Trend Micro, считали схему шифрования практически неуязвимой с криптографической точки зрения. Авторы нового отчёта подчёркивают, что сам алгоритм взломан не был. Слабым местом оказалась его реализация.
The Gentlemen использует потоковое шифрование XChaCha20 и обмен ключами X25519 ECDH. Для каждого файла создаётся отдельная временная пара ключей, поэтому прямой подбор не имеет смысла. Однако вредонос написан на Go, а среда выполнения языка не очищает криптографические данные из стека горутин и памяти после завершения операций. В результате временные приватные ключи могут сохраняться в памяти процесса всё время, пока шифровальщик работает.
Bedrock Safeguard утверждает, что одного дампа памяти процесса достаточно, чтобы извлечь ключи для расшифровки файлов. В тесте команда восстановила 35 из 35 файлов со 100-процентной точностью, а поиск всех ключей занял 0,6 секунды. Такой дамп мог сохраниться в EDR или XDR-системах, у группы реагирования на инцидент, в Windows Error Reporting, аварийных дампах, полном снимке оперативной памяти или файле гибернации.
Компания также опубликовала признаки компрометации. Среди них записка README-GENTLEMEN.txt, хвост файла с маркером GENTLEMEN, случайное расширение зашифрованных файлов, удаление теневых копий через vssadmin и wmic, добавление исключений Windows Defender, удаление Prefetch-файлов, остановка служб баз данных, резервного копирования и защиты, а также смена обоев на gentlemen.bmp.
Отчёт связывает работу с более ранним восстановлением ключей WannaCry, которое в 2017 году описал Адриен Гине. По версии Bedrock Safeguard, новая публикация стала первым открытым примером извлечения временных X25519-ключей из памяти против семейства вымогателей. О находке уведомили Канадский центр кибербезопасности и RCMP NC3. Компания также представила открытый сервис Bedrock RansomGuard , который должен автоматически замечать шифрование и сохранять память процесса, пока ключи ещё можно извлечь. Аналогичный подход — публичный дешифратор как итог анализа слабой криптореализации — ранее применялся против шифровальщика FunkSec.