19/04/22
Специалисты подразделения анализа киберугроз компании VMware, занимающейся разработкой ПО для виртуализации, опубликовали анализ вредоносного ПО RuRansom, которое атакует системы в России.
Впервые о RuRansom рассказали эксперты ИБ-компании Trend Micro в марте нынешнего года. Хотя в названии вредоноса используется слово «ransom», что означает «выкуп», RuRansom является не вымогательским ПО, а вайпером, поскольку безвозвратно уничтожает зашифрованные файлы своих жертв.
В записке с требованием выкупа, которые обычно отображают программы-вымогатели, автор вредоноса сообщает свои истинные мотивы. По его словам, он создал RuRansom с единственной целью – причинить ущерб России.
«Нет никакого способа расшифровать ваши файлы. Никакой оплаты, только ущерб», – сообщается в записке.
Вайпер написан на языке программирования .NET и распространяется подобно червю. Во время выполнения он немедленно вызывает функцию IsRussia(), проверяет публичный IP-адрес системы с помощью сервиса https://api[.]ipify[.]org . По IP-адресу вредонос определяет местоположение машины с помощью еще одного сервиса с URL-структурой https://ip-api[.]com/#<public ip>.
Если геолокационные данные машины не содержат слово «Россия», появляется уведомление «Программу могут запускать только российские пользователи», и выполнение прекращается.
