2022-04-16 19:39:01
Приємні новини на кібергоризонті. Російські системи активно почав атакувати шифрувальник під назвою
RuRansom.
Як розповіли спеціалісти
VMware, які підготували аналіз шифрувальника, малварь написана на .NET і може поширюватись на інші знімні або мережеві диски створюючи свою копію у вигляді файлу з назвою
“Россия-Украина_Война-Обновление.doc.exe”.При виконанні малварь виконує цікаву функцію під назвою IsRussia(), яка перевіряє публічний IP-адрес зараженої системи за допомогою сервіса https://api[.]ipify[.]org. І визначає геолокацію IP-адресу на сервісі https://ip-api[.]com. Якщо в геолокації машини жертви немає слова "Russia", тоді малварь виводить вікно з повідомленням “Программу могут запускать только российские пользователи”.
Для шифрування файлів малварь використовує AES алгоритм та змінює розширення зашифрованих файлів на “.fs_invade”. Коли файл зашифровано, у тій самій папці створюється ransom note файл з назвою
“Полномасштабное_кибервторжение.txt”, у якому автор передає палке вітання Путіну і повідомляє, що ніякого способу розшифрувати файли немає..
516 views16:39