«Антивирусный убийца» — это класс инструментов, которые отключают ваши защитники до того, как в сеть занесут шифровальщик или стилер. Сейчас это реальный тренд: группы распространяют новые версии, а бизнес страдает от фрагментации защиты и всплеска краж учётных данных. В статье — что происходит и что делать, чтобы не стать лёгкой мишенью.
Что такое «антивирусный убийца» и почему о нём заговорили сейчас
Антивирусный убийца (AV/EDR killer) — это утилита, которая вырубает защиту: останавливает службы, глушит драйверные хуки, снимает «зрение» у EDR и даже деинсталлирует продукты безопасности. В 2025-м исследователи описали новый экземпляр, эволюцию EDRKillShifter: его используют сразу несколько групп-вымогателей, а в ряде кейсов он мимикрирует под легитимные драйверы и работает через приём BYOVD (подмена/подгрузка уязвимого драйвера).
Свежие наблюдения: у Kaspersky — случай в Бразилии, где злоумышленники принесли с собой уязвимый драйвер ThrottleStop.sys и на его правах добили процессы защиты. Эксплуатируется ровно тот сценарий «принеси свой уязвимый драйвер».
Как выглядит атака: от доступа до шифровальщика
Коротко по механике. Взломщики получают начальный доступ (часто — валидные логины), закрепляются, повышают привилегии, отключают защиту AV/EDR-киллером и только потом тянут основную нагрузку: кейлоггер, стилер, шифровальщик, эксфильтрация. В кейсах Sophos и TechRadar фигурируют и «ослепление» ядра (отключение защитных коллбеков), и тихая деинсталляция антивируса, а также загрузка драйверов с просроченными/скомпрометированными сертификатами.
- Доступ: фишинг/укравшиеся пароли/брют. Часто — валидные учётки админов.
- Закрепление и разведка: проверка домена, бэкапов, EDR-политик.
- Повышение привилегий: злоупотребление подписанными/уязвимыми драйверами (BYOVD).
- Антивирусный убийца: остановка сервисов, отключение хуков ядра, деинсталляция.
- Нагрузка: кейлоггер/стилер/шифровальщик + эксфильтрация в облако.
- Латеральное движение: захват других узлов, доменных контроллеров.
Фактчек. Sophos описывает «общий секрет» нынешней kill-цепочки: разные банды используют разные сборки одного класса инструмента, упакованные через HeartCrypt, а EDRKillShifter вытеснен более свежими реализациями.
Почему именно сейчас больнее: фрагментация защиты + взрыв краж учёток
Многие компании годами наращивали зоопарк несвязанных решений. Итог — слепые зоны, раздробленные журналы и долгие реакции. Эксперты призывают к унификации стека: единая платформа видимости активов, корреляции событий и управления рисками вместо десятка точечных тулов.
Параллельно — взрыв кражи учётных данных. В 2025 число скомпрометированных логинов выросло на 160%, а credential theft даёт до 20% инцидентов. Отдельно отмечают ~94 дня на устранение засвеченных секретов из репозиториев — огромное окно для атаки.
Цифры выше — не теория. Sophos зафиксировал использование «киллера» минимум восьмью разными группами; ITPro со ссылкой на Check Point — скачок по компрометациям; TechRadar — кейсы Crypto24 с «ослеплением» драйверного уровня и деинсталляцией защитника.
Что именно «убивает» убийца: тактики и приёмы
BYOVD / подписанные драйверы. Инструмент ищет/подгружает драйвер с скомпрометированным либо просроченным сертификатом (в ряде образцов — маска под драйвер Falcon). Дальше — выключение коллбеков/хуков, убийство процессов (MsMpEng, SophosHealth и др.), остановка сервисов и чистка следов.
Скрытность и вариативность. Сборки сильно обфусцированы (упаковка HeartCrypt), список целей плавающий: от 1–2 до длинного перечня (Microsoft, Kaspersky, Trend Micro, Sophos, SentinelOne, Bitdefender и пр.). Схема повторяется у разных семей.
Практика защиты: быстрый план на 30 дней
Ниже — короткий, но рабочий набор шагов. Начните сверху и двигайтесь вниз — это даст ощутимый эффект даже при ограниченных ресурсах.
☑ Включите tamper protection для всех средств защиты (Windows/3rd-party).
☑ Введите блоклист уязвимых драйверов и контроль загрузки драйверов (WDAC/AppControl/политики драйверов).
☑ Запретите RDP наружу, включите MFA для любых удалённых доступов; урежьте локальные админ-права.
☑ Сделайте экспресс-проверку фрагментации: где у вас дублируются инструменты, где нет общей видимости активов. Сведите телеметрию в один «центр».
☑ Проведите секрет-ревью: поиски токенов/паролей в репозиториях, настройте авто-ревок и таймеры ротации (цель — закрывать утечки не за 94 дня, а за сутки).
☑ Настройте детекты: «загрузка драйвера из нетипичного пути», «возможное ослепление EDR», «известный уязвимый драйвер».
Таблица быстрых мер и эффекта
| Мера | Что даёт | Приоритет | Горизонт внедрения |
|---|---|---|---|
| Tamper protection во всех продуктах | Защита от отключения/деинсталляции защитника | Критично | 1–3 дня |
| Контроль драйверов (WDAC/блоклист уязвимых) | Режет BYOVD и маскировку под легальные драйверы | Критично | 1 неделя |
| MFA на все удалённые доступы + запрет внешнего RDP | Ломает сценарии с валидными учётками | Высокий | 1–3 дня |
| Унификация стека безопасности | Меньше слепых зон и алёрт-шума | Высокий | 2–4 недели |
| Скан секретов в репозиториях + авто-ревок | Сжимает окно от 94 дней до суток | Высокий | 1 неделя |
Кейсы и реалии 2024–2025
Crypto24 применяет вариант RealBlindingEDR: поиск названий в метаданных драйверов, отключение коллбеков ядра и даже тихая деинсталляция антивирусов; затем — кейлоггер, шифровальщик, выгрузка данных в облако.
8 и более групп (RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx, INC) замечены с обновлённым killer-инструментом; сборки разные, но идеи общие.
ThrottleStop.sys: злоумышленники приносят уязвимый драйвер, гасят защиту и раскатывают MedusaLocker.
Заключение
Антивирусный убийца — не «киноштучка», а зрелый класс инструментов в руках вымогателей. Он опасен там, где защита разрознена, а процессы — дырявые. Первый шаг — закрыть базу: tamper protection, контроль драйверов, MFA и ломка фрагментации. Дальше — унификация телеметрии и сокращение окна реакции до часов, а не недель.
