ПЗ не вимагає викупу за розшифровку файлів, а просто шкодить росіянам. В інших країнах воно просто не запускається.
В Інтернеті розповсюджується шкідлива програма під назвою RuRansom, яка атакує лише російських користувачів. “Вірус” виявили та вивчили експерти компанії з розробки програмного забезпечення VMware.
Вперше про RuRansom розповіли експерти ІБ-компанії Trend Micro в березні цього року. Хоча назва містить англійське слово “ransom” (“викуп”), програма не вимагає гроші в користувача, а просто шкодить системі та позбавляє доступу до файлів.
Після запуску шкідливе програмне забезпечення запускає функцію IsRussia, яка перевіряє IP-адресу комп’ютера за допомогою сервісу ipify, а потім визначає географічне розташування. Якщо геолокація не має слова Russia (Росія), то алгоритм переривається, але на екран виводиться вікно з повідомленням:” Програму можуть запускати лише російські користувачі”.
Далі вірус перевіряє свій рівень доступу і за необхідності отримує права адміністратора за допомогою командного рядка “cmd.exe /c powershell start-process -verb runas”. Після цього він починає збирати інформацію про диски, якщо виявляє мережевий або знімний диск, то відправляє туди свою копію під назвою “Росія-Україна_Війна-Оновлення.doc.exe”. На диску “С” він шифрує папку Users\<поточний користувач>, а на інших дисках — кожен файл.
Якщо шлях розташування файлів не відповідає “%AppData%”, шкідлива програма перераховує список файлів та каталогів. %AppData% — це відомий шлях Windows для зберігання даних конфігурації для встановлених програм поточного облікового запису користувача. Далі шкідлива програма перевіряє, чи файл розширення “.bak”, якщо так, то просто видаляє його, щоб ускладнити відновлення. Інші файли шифруються за допомогою функції EncryptFile за методом AES (Advanced Encryption Standard).
Усі файли на комп’ютері шифруються за допомогою унікального ключа, а потім кодуються та записуються назад у вихідний файл. Вірус змінює їх розширення на “.fs_invade”. Після шифрування файлу він створює в тому ж каталозі текстовий документ під назвою “Повномасштабне_кібервторження.txt”, що містить таке послання:
“24 лютого президент Володимир Путін оголосив війну Україні. Щоб протистояти цьому, я, творець RU_Ransom, створив цей вірус, щоб нашкодити Росії. Ви самі накликали це на себе, пане президенте. Ваші файли розшифрувати неможливо, викуп не потрібний, тільки збиток. І так, це “миротворчість”, як це робить Влади Папа, вбиваючи безневинних мирних жителів”.
Раніше стало відомо, що російські військові хакери хотіли вимкнути електроенергію в Україні. Вони впровадили шкідливе ПЗ у систему одного з обленерго, але фахівці з кібербезпеки змогли вчасно його знешкодити та запобігли масштабному збою.
Джерело: ФОКУС