The Gentlemen: как взломали самого активного вымогателя 2026 года

В 2026 году кибербезопасность столкнулась с мощной угрозой — вымогательским ПО The Gentlemen (также известным как hastalamuerte). К первому кварталу года группировка нанесла урон более чем 320 организациям. Но теперь у жертв появилась надежда: канадская компания Bedrock Safeguard раскрыла способ расшифровки данных без выплаты выкупа.

Долгое время схема шифрования The Gentlemen считалась практически неуязвимой. Крупные игроки в сфере кибербезопасности — Cybereason, Group‑IB, Check Point, ASEC и Trend Micro — не находили слабых мест. Однако проблема оказалась не в алгоритме, а в его реализации. Разберёмся, как это сработало.

Как устроен The Gentlemen

Вымогатель применяет продвинутые криптографические методы:

• XChaCha20 — потоковое шифрование для защиты данных;

• X25519 ECDH — обмен ключами для безопасной передачи информации.

Для каждого файла создаётся уникальная пара временных ключей. Это делает прямой подбор практически бессмысленным: даже если взломать один ключ, он не поможет расшифровать остальные файлы.

В чём уязвимость

Зловред написан на языке программирования Go. Его особенность — среда выполнения не очищает криптографические данные из памяти после завершения операций. Что это значит на практике?

Временные приватные ключи остаются в памяти процесса всё время работы шифровальщика. Это критическая брешь: злоумышленники не учли, что данные могут быть извлечены извне.

Как работает расшифровка

Bedrock Safeguard обнаружила, что достаточно получить дамп памяти процесса — и ключи для расшифровки можно извлечь. В ходе тестирования метод показал 100 % эффективности: команда восстановила все 35 файлов, потратив всего 0,6 секунды на поиск ключей.

Где может сохраниться нужный дамп:

• в EDR‑ или XDR‑системах;

• у группы реагирования на инциденты;

• в Windows Error Reporting;

• в аварийных дампах;

• в полном снимке оперативной памяти;

• в файле гибернации.

Признаки атаки The Gentlemen

Чтобы вовремя обнаружить угрозу, важно знать маркеры компрометации:

• текстовый файл README‑GENTLEMEN.txt с требованием выкупа;

• маркер GENTLEMEN в конце имени зашифрованного файла;

• случайные расширения у зашифрованных файлов;

• удаление теневых копий через команды vssadmin и wmic;

• добавление исключений в Windows Defender;

• удаление Prefetch‑файлов;

• остановка служб баз данных, резервного копирования и защиты;

• смена обоев рабочего стола на gentlemen.bmp.

Инновационный подход к защите

Bedrock Safeguard не просто раскрыла метод расшифровки — компания представила Bedrock RansomGuard. Это открытый сервис, который:

• автоматически обнаруживает признаки шифрования в реальном времени;

• сохраняет память процесса, пока ключи ещё доступны для извлечения;

• помогает предотвратить потерю данных до того, как вымогатель завершит работу.

Исторический контекст

Метод перекликается с событиями 2017 года, когда исследователь Адриен Гине нашёл способ восстановить ключи для WannaCry. Bedrock Safeguard подчёркивает: их публикация — первый открытый пример извлечения временных X25519‑ключей из памяти против семейств вымогателей. О находке уведомлены Канадский центр кибербезопасности и RCMP NC3.

Аналогичный подход — создание публичного дешифратора на основе анализа слабых мест реализации — ранее помог бороться с шифровальщиком FunkSec. Это доказывает: даже самые сложные угрозы можно нейтрализовать, если найти уязвимость в их архитектуре.