Вредонос RuRansom уничтожает данные в российских системах

Вредонос RuRansom уничтожает данные в российских системах 2

Специалисты VMware предупредили об активности вайпера RuRansom, который атакует российские системы и умышленно уничтожает их данные, включая резервные копии. В отличие от обычных шифровальщиков, которые вымогают выкуп у пострадавших, автор RuRansom не просит денег, а просто стремится причинить ущерб РФ.

Еще в начале марта о RURansom писали аналитики Trend Micro, которые предостерегали пользователей и компании об опасности нового вайпера (wiper, от английского to wipe — «стирать», «очищать»). По информации компании, вредонос появился еще 26 февраля и был создан как деструктивное ПО, специально для уничтожения резервных копий и данных жертв.

Как теперь рассказывают эксперты VMware, подготовившие собственный анализ, вайпер написан на .NET и распространяется подобно червю и копируя себя в виде файла с двойным расширением doc.exe на все съемные диски и подключенные сетевые ресурсы.

Вредонос RuRansom уничтожает данные в российских системах 3

После запуска на машине жертвы малварь немедленно вызывает функцию IsRussia(), проверяя общедоступный IP-адрес системы с помощью известного сервиса, расположенного по адресу https://api[.]ipify[.]org. Затем RuRansom использует IP-адрес для определения географического местоположения машины с помощью известной службы геолокации, используя формат URL-адреса https://ip-api[.]com/#<публичный ip>.

Читайте также:  НЛП: Забыть прошлое

Если жертва находится не в России, малварь выводит на экран сообщение: «Программу могут запускать только российские пользователи» и прекращает выполнение.

Если же процесс не прерван, вредонос получает привилегии администратора с помощью cmd.exe /c powershell start-process <executing assembly path> -verb runas и приступает к шифрованию данных. Шифрование применяется ко всем расширениям, кроме файлов .bak, которые удаляются. Файлы шифруются с использованием алгоритма AES-CBC с жестко запрограммированной солью и случайно сгенерированным ключом длиной, равным base64 («FullScaleCyberInvasion + » + MachineName).

При этом записка, оставленная автором малвари в коде и файле «Полномасштабное_кибервторжение.txt», гласит, что ему не нужен выкуп, и он хочет причинить ущерб России, отомстив за «специальную военную операцию» в Украине.

«Нет никакого способа расшифровать ваши файлы. Никакой оплаты, только ущерб», — заявляет разработчик в сообщении, пропущенном через Google Translate.

Источник

Автор публикации

не в сети 2 часа

Андрей Маргулис

542
С организацией DDoS атак завязал.
Выкладываю новости технологий и интересные статьи с темной стороны интернета.
31 год
День рождения: 14 Мая 1991
Комментарии: 548Публикации: 2688Регистрация: 12-12-2015
Понравилась статья? Поделиться с друзьями:
РЭНБИ - Россия
Авторизация
*
*
Регистрация
*
*
*
*
Ваш день рождения * :
Число, месяц и год:
Отображать дату:
Генерация пароля
/