После проникновения на устройство вирус мгновенно шифрует данные, а затем оставляет на рабочем столе жертвы записку под названием «Decryption Instructions.txt» с требованиями злоумышленников. Одновременно с этим изменяется фон рабочего стола, чтобы привлечь внимание жертвы. В тексте уведомления упоминается не только факт блокировки файлов, но и кража конфиденциальной информации с последующей угрозой её публикации, что свидетельствует о применении тактики двойного вымогательства.
Анализ поведения Vgod указывает на его сложные механизмы уклонения от обнаружения. Он использует DLL Sideloading для обхода защитных механизмов, инъекции процессов, а также манипуляции с системным реестром. Среди зафиксированных тактик присутствует маскировка, проверка среды на наличие виртуальных машин и песочниц, а также загрузка вредоносного кода до этапа загрузки ОС, что делает его особенно устойчивым к удалению.
Эксперты CYFIRMA идентифицировали используемые угрозой методы по классификации MITRE ATT&CK, включая:
- Выполнение через PowerShell (T1059.001), API Windows (T1106) и DLL-модули (T1129);
- Устойчивость за счёт внедрения в загрузочные процессы (T1542.003) и подмены DLL-библиотек (T1574.002);
- Повышение привилегий через инъекции процессов (T1055) и обход механизмов контроля доступа (T1548);
- Избегание обнаружения благодаря скрытым файлам, шифрованию, изменению системных параметров (T1014, T1036, T1112);
- Доступ к учётным данным через дамп паролей Windows (T1003) и анализ файлов конфигурации (T1552.001);
- Сбор информации о системе, запущенных процессах и установленных приложениях (T1010, T1082, T1518.001);
- Вывод данных через зашифрованные каналы (T1573) и нестандартные протоколы (T1095);
- Влияние на систему за счёт шифрования данных (T1486) и использования вычислительных ресурсов жертвы (T1496).
Согласно наблюдениям, злоумышленники взаимодействуют с жертвами через электронную почту, где, вероятно, и предоставляются дальнейшие инструкции для перевода выкупа.