ПО не требует выкуп за расшифровку файлов, а просто вредит россиянам. В других странах оно просто не запускается.
В Интернете распространяется вредоносная программа под названием RuRansom, которая атакует исключительно российских пользователей. "Вирус" обнаружили и изучили эксперты компании по разработке программного обеспечения VMware.
Впервые о RuRansom рассказали эксперты ИБ-компании Trend Micro в марте нынешнего года. Хотя название содержит английское слово "ransom" ("выкуп"), программа не требует деньги у пользователя, а просто вредит системе и лишает доступа к файлам.
После запуска вредоносное ПО запускает функцию IsRussia, которая проверяет IP-адрес компьютера при помощи сервиса ipify, а затем определяет географическое местоположение. Если геолокация не содержит слово Russia (Россия), то алгоритм прерывается, а на экран выводится окно с сообщением: "Программу может запускать только российские пользователи".
Далее вирус проверяет свой уровень доступа и при необходимости получает права администратора при помощи командной строки "cmd.exe /c powershell start-process <executing assembly path> -verb runas". После этого он начинает собирать информацию о дисках, если обнаруживает сетевой или съемный диск, то отправляет туда свою копию с названием "Россия-Украина_Война-Обновление.doc.exe". В диске "С" он шифрует папку Users\<текущий пользователь>, а на других дисках — каждый файл.
Если путь расположения файлов не соответствует "%AppData%", вредоносная программа перечисляет список файлов и каталогов. "%AppData%" — это известный путь Windows для хранения данных конфигурации для установленных приложений текущей учетной записи пользователя. Далее вредоносная программа проверяет, имеет ли файл расширение ".bak", если да, то просто удаляет его, чтобы затруднить восстановление. Все остальные файлы шифруются с помощью функции EncryptFile по методу AES (Advanced Encryption Standard).
Все файлы на компьютере шифруются с использованием уникального ключа, а затем кодируются и записываются обратно в исходный файл. Вирус при этом меняет их расширение на ".fs_invade". После шифрования файла он создает в том же каталоге текстовый документ с названием "Полномасштабное_кибервторжение.txt", содержащий такое послание:
"24 февраля президент Владимир Путин объявил войну Украине. Чтобы противостоять этому, я, создатель RU_Ransom, создал этот вирус, чтобы навредить России. Вы сами навлекли это на себя, господин президент. Ваши файлы расшифровать невозможно, выкуп не требуется, только ущерб. И да, это "миротворчество", как это делает Влади Папа, убивая невинных мирных жителей".
Ранее стало известно, что российские военные хакеры хотели отключить электроэнергию в Украине. Они внедри вредоносное ПО в систему одного из облэнерго, но специалисты по кибербезопасности смогли вовремя его обезвредить и предотвратили масштабный сбой.