Написан на Python, но действует как спецназ: новый вирус Lyrix наводит страх.

Один файл, один запуск — и никакого восстановления

Команда CYFIRMA выявила новый вирус Lyrix Ransomware, написанный на Python и скомпилированный через PyInstaller в единый EXE-файл для Windows, что упрощает его распространение. Lyrix использует мощное шифрование и методы обхода антивирусов, делая удаление крайне сложным. Впервые активность вируса зафиксировали 20 апреля 2025 года.

Lyrix шифрует пользовательские файлы (DOCX, PDF, JPG и др.), добавляя расширение «.02dq34jROu», а ключи сохраняет в ProgramData. Без приватного ключа расшифровка невозможна. После заражения вирус удаляет теневые копии, отключает среду восстановления Windows и оставляет в папках файл Readme.txt с требованиями выкупа, угрожая слить данные.

Технический анализ показал: Lyrix применяет антианалитические приёмы (например, VirtualProtect, Sleep) и фиксируется по MITRE ATT&CK, включая запуск скриптов, скрытие артефактов и работу с учётными данными.

Рекомендации экспертов:

• запретить запуск EXE из временных папок;
• ограничить доступ к vssadmin, wmic, bcdedit;
• усилить защиту почты и фильтрацию вложений;
• использовать EDR для отслеживания массового шифрования;
• регулярно обучать сотрудников и тестировать планы реагирования;
• изолировать заражённые машины и сохранять артефакты;
• не платить выкуп — это не гарантирует возврата данных.

Дополнительно советуют применять YARA-правила и IoC от CYFIRMA, а также делать регулярные резервные копии на изолированных носителях.