Киберугроза будущего: ESET раскрыла PromptLock — первый ИИ-вымогатель. ai.. ai. eset.. ai. eset. golang.. ai. eset. golang. lua.. ai. eset. golang. lua. malware.. ai. eset. golang. lua. malware. openai.. ai. eset. golang. lua. malware. openai. ransomware.. ai. eset. golang. lua. malware. openai. ransomware. Антивирусная защита.. ai. eset. golang. lua. malware. openai. ransomware. Антивирусная защита. вирусы.. ai. eset. golang. lua. malware. openai. ransomware. Антивирусная защита. вирусы. Информационная безопасность.. ai. eset. golang. lua. malware. openai. ransomware. Антивирусная защита. вирусы. Информационная безопасность. искусственный интеллект.. ai. eset. golang. lua. malware. openai. ransomware. Антивирусная защита. вирусы. Информационная безопасность. искусственный интеллект. кибербезопасность.. ai. eset. golang. lua. malware. openai. ransomware. Антивирусная защита. вирусы. Информационная безопасность. искусственный интеллект. кибербезопасность. Криптография.. ai. eset. golang. lua. malware. openai. ransomware. Антивирусная защита. вирусы. Информационная безопасность. искусственный интеллект. кибербезопасность. Криптография. полиморфное поведение.. ai. eset. golang. lua. malware. openai. ransomware. Антивирусная защита. вирусы. Информационная безопасность. искусственный интеллект. кибербезопасность. Криптография. полиморфное поведение. Системное администрирование.

В августе 2025 года исследователи компании ESET сообщили об обнаружении PromptLock — первого известного шифровальщика, использующего генеративный искусственный интеллект для создания полиморфного кода. Этот вредонос, написанный на Go, способен заражать устройства под управлением Windows, Linux и macOS. Несмотря на то, что он пока рассматривается как proof-of-concept (прототип), находка демонстрирует, как ИИ может радикально изменить киберугрозы и сделать традиционные методы обнаружения практически бесполезными.

x.com / @ESETresearch / hard-coded prompts
x.com / @ESETresearch / hard-coded prompts

PromptLock написан на Golang — языке, ценимом за производительность и кроссплатформенность. Главное отличие этого вируса — интеграция с открытой LLM-моделью GPT-OSS:20b, выпущенной менее месяца назад. Подключение к модели осуществляется через Ollama API, работающей на удалённом сервере: скачивание самой модели на заражённое устройство не производится.

После компрометации системы PromptLock устанавливает соединение с сервером Ollama и в реальном времени генерирует Lua-скрипты. Эти скрипты сканируют файловую систему, анализируют содержимое, отбирают данные для шифрования. Для шифрования используется SPECK-128 — алгоритм, разработанный АНБ США, отличающийся высокой скоростью.

Любопытная деталь: в промптах зашит Bitcoin-адрес, ассоциируемый с Сатоши Накамото. Эксперты считают, что он может использоваться как отвлекающий элемент.

Каждый запуск PromptLock формирует уникальные Lua-скрипты, что делает его полиморфным и почти невидимым для сигнатурных и эвристических систем защиты: статические индикаторы компрометации (например, хэши файлов) становятся бесполезными.

Таким образом, внимание специалистов должно смещаться на поведенческий анализ.

Ключевые индикаторы заражения включают:

  • нетипичные паттерны доступа к файловой системе;

  • выполнение Lua-скриптов в неожиданных процессах;

  • массовое шифрование файлов с помощью SPECK;

  • аномальные сетевые соединения с API серверов LLM-моделей.

В качестве мер противодействия эксперты рекомендуют:

  • использовать EDR-системы, ориентированные на поведенческий анализ;

  • внедрять мониторинг сетевых туннелей и блокировать подозрительные соединения;

  • применять whitelisting приложений и контроль исполнения скриптов;

  • поддерживать офлайн-бэкапы и процедуры быстрой изоляции заражённых машин.

Источники: WeLiveSecurityITNewsPCMagTheHackerNewsSecurityWeek

Автор: edyatl

Источник

Версия для печати Версия для печати
Rambler's Top100