Шифровальщик-деструктор RURansom запускается только в России

Шифровальщик-деструктор RURansom запускается только в России

Шифровальщик-деструктор RURansom запускается только в России

Исследователи из VMware опубликовали результаты анализа RURansom —зловреда, шифрующего файлы на российских Windows-машинах без возможности возврата. Его автор не скрывает, что создал программу, способную уничтожать данные и резервные копии, с целью причинить ущерб России.

Написанный на .NET вредонос RURansom появился в поле зрения ИБ-экспертов в начале прошлого месяца. Сначала об обнаружении необычного шифровальщика сообщила команда MalwareHunterTeam, затем последовали развернутые публикации Trend Micro и Cyble.

Исследование, проведенное в VMware, подтвердило результаты, полученные коллегами-аналитиками. При запуске RURansom вызывает функцию IsRussia() для проверки IP-адреса и геолокации зараженной системы (выполняется с использованием API легитимных веб-сервисов). Если жертва находится за пределами России, зловред отображает сообщение «Программу могут запускать только российские пользователи» и завершает свое исполнение.

В противном случае наступает следующий этап — проверка прав текущего пользователя. Если уровень ниже администратора, RURansom использует PowerShell для запуска командлета Start-Process, чтобы повысить привилегии.

По завершении всех проверок вредонос начинает собирать информацию о доступных носителях. Обнаружив съемное или подключенное сетевое хранилище, он оставляет там свою копию (с именем Россия-Украина_Война-Обновление.doc.exe); на диске C: шифруется только содержимое папки текущего пользователя.

На остальных найденных жестких дисках зловред шифрует все подряд. Исключение составляют только файлы конфигурации запущенных приложений (хранятся в %AppData%), а также резервные копии (файлы .bak) — эти он беспощадно удаляет, чтобы воспрепятствовать восстановлению данных.

Для шифрования используется AES в режиме CBC, с добавлением вшитой в код соли. Для каждого файла создается свой ключ, который потом кодируется по base64 и нигде не сохраняется — это делает шифрование необратимым. После преобразования расширение файла меняется на .fs_invade.

Во всех папках с зашифрованными данными создается файл Полномасштабное_кибервторжение.txt. В этой русскоязычной записке указано, что RURansom создан с целью навредить России. Способа расшифровки не существует, никакой платы тоже не требуется. Примечательна заключительная фраза — «переведено с бангла [бенгали] на русский с помощью Google Translate». Никаких доказательств того, что это именно так, не найдено.

Новоявленного вредителя детектирует большинство антивирусов из коллекции VirusTotal.  Данных о заражениях пока нет.

Обнаружены также другие творения автора RURansom — загрузчик для криптомайнера XMRig и еще один деструктор, с говорящим именем dnWipe. Последний примечателен тем, что исполняется только во вторникам; он просто кодирует по base64 содержимое файлов .doc, .docx, .png, .gif, .jpeg, .jpg, .mp4, .txt, .flv, .mp3, .ppt, .pptx, .xls и .xlsx — расшифровка в этом случае не составит труда.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Solar webProxy 4.3 получил DPI, фиды угроз и поддержку российских ОС

ГК «Солар» выпустила обновление комплексного шлюза веб-безопасности Solar webProxy — версия 4.3. В новом релизе появилась поддержка глубокого анализа трафика (DPI), интеграция с фидами угроз Solar TI Feeds от Solar 4RAYS, а также совместимость с российскими операционными системами.

Один из главных изменений — переработанный механизм категоризации веб-ресурсов. Теперь за это отвечает отдельный модуль webCAT.

Он использует две базы: общую категоризацию сайтов и фиды вредоносных ресурсов от Solar 4RAYS. Обновления происходят автоматически, без участия администраторов.

Поддержка DPI в российском SWG-решении — тоже новшество. Этот модуль позволяет фильтровать трафик в режиме реального времени, включая мессенджеры, видеосвязь, VPN и даже онлайн-игры. DPI позволяет анализировать и управлять трафиком на уровне приложений и протоколов, в том числе зашифрованных (например, HTTPS и SOCKS5).

Ещё одна полезная функция — автоматическая передача атрибутов пользователя во внутренние системы, что упрощает авторизацию в корпоративных сервисах. Кроме того, администратор теперь может сам задать срок хранения привязки IP-адреса к пользователю.

В новой версии также появилось логирование недоступности внешних ICAP-серверов, например DLP- или антивирусных решений. При этом система может перейти в bypass-режим, чтобы не блокировать доступ к важным ресурсам.

Обновлённый Solar webProxy совместим с актуальными версиями российских операционных систем Astra Linux (1.7.6 и 1.7.7) и РЕД ОС 8, что позволяет использовать его в импортонезависимых ИТ-инфраструктурах.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru