Malware RuRansom destrói dados em sistemas russos

RuRansom malware destroys data

Especialistas da VMware falaram sobre a atividade do limpador RuRansom, que ataca os sistemas russos e destrói deliberadamente os seus dados, incluindo backups. Ao contrário dos criptógrafos comuns que extorquem resgates das vítimas, o autor de RuRansom não pede dinheiro, mas pretende simplesmente causar danos à Federação Russa.

Por falar nisso, deixe-me lembrá-lo que informamos que grupos de hackers se dividiram: alguns deles apoiam a Rússia, outros Ucrânia.

De volta no início de março, Analistas da Trend Micro escreveram sobre RuRansom, que contou aos usuários e empresas sobre a nova víbora anti-russa. De acordo com a empresa, o malware apareceu em fevereiro 26 e foi criado como um software destrutivo, especificamente para destruir os backups e dados das vítimas.

Como especialistas da VMware, que prepararam sua própria análise, agora diga, o viper é escrito em .NET e se espalha como um worm e se copia como um arquivo com extensão dupla doc.exe para todas as unidades removíveis e recursos de rede conectados.

O malware RuRansom destrói dados

Depois de ser lançado na máquina da vítima, o malware chama imediatamente a IsRussia() função, verificar o endereço IP público do sistema usando um serviço conhecido localizado em https://API[.]ipificar[.]organização. RuRansom então usa o endereço IP para determinar a localização geográfica da máquina usando um serviço de geolocalização conhecido usando o formato URL https://ip-api[.]com/#[IP Público].

Observação: E também, por exemplo, nós informamos que códigos-fonte vazados do ransomware Conti foram usados ​​para atacar autoridades russas.

Se o alvo não estiver na Rússia, o malware exibe uma mensagem na tela: “Apenas usuários russos podem executar o programa” e interrompe a execução.

Se o processo não for interrompido, o malware ganha privilégios de administrador usando cmd.exe /c powershell start-process -verb runas e prossegue para criptografar dados. A criptografia se aplica a todas as extensões, exceto arquivos .bak, que são removidos. Os arquivos são criptografados usando o algoritmo AES-CBC com um salt codificado e uma chave de comprimento base64 gerada aleatoriamente (“FullScaleCyberInvasion + ” + Nome da maquina).

Ao mesmo tempo, a nota deixada pelo autor do malware no código e arquivo “Fullscale_cyber-invasion.txt” diz que não precisa de resgate, e ele quer prejudicar a Rússia vingando o “operação militar especial” na Ucrânia.

Não há como descriptografar seus arquivos. Sem pagamento, apenas dano. diz o desenvolvedor em uma mensagem.

 

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *