Приємні новини на кібергоризонті. Російські системи активно по | TheHackestEver

Приємні новини на кібергоризонті. Російські системи активно почав атакувати шифрувальник під назвою RuRansom.

Як розповіли спеціалісти VMware, які підготували аналіз шифрувальника, малварь написана на .NET і може поширюватись на інші знімні або мережеві диски створюючи свою копію у вигляді файлу з назвою “Россия-Украина_Война-Обновление.doc.exe”.

При виконанні малварь виконує цікаву функцію під назвою IsRussia(), яка перевіряє публічний IP-адрес зараженої системи за допомогою сервіса https://api[.]ipify[.]org. І визначає геолокацію IP-адресу на сервісі https://ip-api[.]com. Якщо в геолокації машини жертви немає слова "Russia", тоді малварь виводить вікно з повідомленням “Программу могут запускать только российские пользователи”.

Для шифрування файлів малварь використовує AES алгоритм та змінює розширення зашифрованих файлів на “.fs_invade”. Коли файл зашифровано, у тій самій папці створюється ransom note файл з назвою “Полномасштабное_кибервторжение.txt”, у якому автор передає палке вітання Путіну і повідомляє, що ніякого способу розшифрувати файли немає..