— «Ты зашифровал файлы?» — «Да» — «А где ключ?» — «В папке Temp» — «Упс…». Вот почему вымогатель Pay2Key не так страшен, как его рисуют
NewsMakerИстория одного нелепого взлома клиники.
В январской сборке вымогателя Pay2Key скрывается неприятный сюрприз. Даже когда шифрование работает «по всем правилам», часть данных всё равно остаётся на месте, и иногда довольно большая. Разобранный образец показывает , как устроен механизм внутри и почему жертвы могут вернуть хотя бы часть файлов.
В конце февраля Pay2Key атаковал медицинскую организацию в США. По данным Halcyon и Beazley Security, злоумышленники вошли в сеть через украденные учётные данные администратора, почти неделю не проявляли активности, затем подключились через TeamViewer и начали собирать пароли с помощью Mimikatz и LaZagne. После этого запустили архив, который распаковал шифратор. На полное шифрование ушло около трёх часов.
Сам файл из атаки на клинику найти в открытых базах не удалось. Зато обнаружилась более ранняя версия Pay2Key от 9 января 2026 года. Образец отличается от февральского, но использует тот же набор инструментов и схожую схему доставки. Шифратор упакован в самораспаковывающийся архив 7z и внутри тянет вспомогательные утилиты, включая средство безопасного удаления данных.
Программа построена на базе вымогателя Mimic , который, в свою очередь, вырос из утёкшего конструктора Conti. Для поиска файлов используется утилита Everything, а заблокированные процессы принудительно закрываются через системные механизмы Windows. Перед шифрованием вредонос завершает десятки служб и процессов, в том числе связанные с базами данных, резервным копированием и защитой системы.
В январской сборке вымогателя Pay2Key скрывается неприятный сюрприз. Даже когда шифрование работает «по всем правилам», часть данных всё равно остаётся на месте, и иногда довольно большая. Разобранный образец показывает , как устроен механизм внутри и почему жертвы могут вернуть хотя бы часть файлов.
В конце февраля Pay2Key атаковал медицинскую организацию в США. По данным Halcyon и Beazley Security, злоумышленники вошли в сеть через украденные учётные данные администратора, почти неделю не проявляли активности, затем подключились через TeamViewer и начали собирать пароли с помощью Mimikatz и LaZagne. После этого запустили архив, который распаковал шифратор. На полное шифрование ушло около трёх часов.
Сам файл из атаки на клинику найти в открытых базах не удалось. Зато обнаружилась более ранняя версия Pay2Key от 9 января 2026 года. Образец отличается от февральского, но использует тот же набор инструментов и схожую схему доставки. Шифратор упакован в самораспаковывающийся архив 7z и внутри тянет вспомогательные утилиты, включая средство безопасного удаления данных.
Программа построена на базе вымогателя Mimic , который, в свою очередь, вырос из утёкшего конструктора Conti. Для поиска файлов используется утилита Everything, а заблокированные процессы принудительно закрываются через системные механизмы Windows. Перед шифрованием вредонос завершает десятки служб и процессов, в том числе связанные с базами данных, резервным копированием и защитой системы.