Специалисты VMware предупредили об активности вайпера RuRansom, который атакует российские системы и умышленно уничтожает их данные, включая резервные копии. В отличие от обычных шифровальщиков, которые вымогают выкуп у пострадавших, автор RuRansom не просит денег, а просто стремится причинить ущерб РФ.

Еще в начале марта о RURansom писали аналитики Trend Micro, которые предостерегали пользователей и компании об опасности нового вайпера (wiper, от английского to wipe — «стирать», «очищать»). По информации компании, вредонос появился еще 26 февраля и был создан как деструктивное ПО, специально для уничтожения резервных копий и данных жертв.

Как теперь рассказывают эксперты VMware, подготовившие собственный анализ, вайпер написан на .NET и распространяется подобно червю и копируя себя в виде файла с двойным расширением doc.exe на все съемные диски и подключенные сетевые ресурсы.

После запуска на машине жертвы малварь немедленно вызывает функцию IsRussia(), проверяя общедоступный IP-адрес системы с помощью известного сервиса, расположенного по адресу https://api[.]ipify[.]org. Затем RuRansom использует IP-адрес для определения географического местоположения машины с помощью известной службы геолокации, используя формат URL-адреса https://ip-api[.]com/#<публичный ip>.

Если жертва находится не в России, малварь выводит на экран сообщение: «Программу могут запускать только российские пользователи» и прекращает выполнение.

Если же процесс не прерван, вредонос получает привилегии администратора с помощью cmd.exe /c powershell start-process <executing assembly path> -verb runas и приступает к шифрованию данных. Шифрование применяется ко всем расширениям, кроме файлов .bak, которые удаляются. Файлы шифруются с использованием алгоритма AES-CBC с жестко запрограммированной солью и случайно сгенерированным ключом длиной, равным base64 ("FullScaleCyberInvasion + " + MachineName).

При этом записка, оставленная автором малвари в коде и файле «Полномасштабное_кибервторжение.txt», гласит, что ему не нужен выкуп, и он хочет причинить ущерб России, отомстив за «специальную военную операцию» в Украине.

«Нет никакого способа расшифровать ваши файлы. Никакой оплаты, только ущерб», — заявляет разработчик в сообщении, пропущенном через Google Translate.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    7 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии