Специалисты VMware предупредили об активности вайпера RuRansom, который атакует российские системы и умышленно уничтожает их данные, включая резервные копии. В отличие от обычных шифровальщиков, которые вымогают выкуп у пострадавших, автор RuRansom не просит денег, а просто стремится причинить ущерб РФ.
Еще в начале марта о RURansom писали аналитики Trend Micro, которые предостерегали пользователей и компании об опасности нового вайпера (wiper, от английского to wipe — «стирать», «очищать»). По информации компании, вредонос появился еще 26 февраля и был создан как деструктивное ПО, специально для уничтожения резервных копий и данных жертв.
Как теперь рассказывают эксперты VMware, подготовившие собственный анализ, вайпер написан на .NET и распространяется подобно червю и копируя себя в виде файла с двойным расширением doc.exe на все съемные диски и подключенные сетевые ресурсы.
После запуска на машине жертвы малварь немедленно вызывает функцию IsRussia(), проверяя общедоступный IP-адрес системы с помощью известного сервиса, расположенного по адресу https://api[.]ipify[.]org. Затем RuRansom использует IP-адрес для определения географического местоположения машины с помощью известной службы геолокации, используя формат URL-адреса https://ip-api[.]com/#<публичный ip>.
Если жертва находится не в России, малварь выводит на экран сообщение: «Программу могут запускать только российские пользователи» и прекращает выполнение.
Если же процесс не прерван, вредонос получает привилегии администратора с помощью cmd.exe /c powershell start-process <executing assembly path> -verb runas
и приступает к шифрованию данных. Шифрование применяется ко всем расширениям, кроме файлов .bak, которые удаляются. Файлы шифруются с использованием алгоритма AES-CBC с жестко запрограммированной солью и случайно сгенерированным ключом длиной, равным base64 ("FullScaleCyberInvasion + " + MachineName).
При этом записка, оставленная автором малвари в коде и файле «Полномасштабное_кибервторжение.txt», гласит, что ему не нужен выкуп, и он хочет причинить ущерб России, отомстив за «специальную военную операцию» в Украине.
«Нет никакого способа расшифровать ваши файлы. Никакой оплаты, только ущерб», — заявляет разработчик в сообщении, пропущенном через Google Translate.