Шифровальщик-деструктор RURansom запускается только в России

Шифровальщик-деструктор RURansom запускается только в России

Шифровальщик-деструктор RURansom запускается только в России

Исследователи из VMware опубликовали результаты анализа RURansom —зловреда, шифрующего файлы на российских Windows-машинах без возможности возврата. Его автор не скрывает, что создал программу, способную уничтожать данные и резервные копии, с целью причинить ущерб России.

Написанный на .NET вредонос RURansom появился в поле зрения ИБ-экспертов в начале прошлого месяца. Сначала об обнаружении необычного шифровальщика сообщила команда MalwareHunterTeam, затем последовали развернутые публикации Trend Micro и Cyble.

Исследование, проведенное в VMware, подтвердило результаты, полученные коллегами-аналитиками. При запуске RURansom вызывает функцию IsRussia() для проверки IP-адреса и геолокации зараженной системы (выполняется с использованием API легитимных веб-сервисов). Если жертва находится за пределами России, зловред отображает сообщение «Программу могут запускать только российские пользователи» и завершает свое исполнение.

В противном случае наступает следующий этап — проверка прав текущего пользователя. Если уровень ниже администратора, RURansom использует PowerShell для запуска командлета Start-Process, чтобы повысить привилегии.

По завершении всех проверок вредонос начинает собирать информацию о доступных носителях. Обнаружив съемное или подключенное сетевое хранилище, он оставляет там свою копию (с именем Россия-Украина_Война-Обновление.doc.exe); на диске C: шифруется только содержимое папки текущего пользователя.

На остальных найденных жестких дисках зловред шифрует все подряд. Исключение составляют только файлы конфигурации запущенных приложений (хранятся в %AppData%), а также резервные копии (файлы .bak) — эти он беспощадно удаляет, чтобы воспрепятствовать восстановлению данных.

Для шифрования используется AES в режиме CBC, с добавлением вшитой в код соли. Для каждого файла создается свой ключ, который потом кодируется по base64 и нигде не сохраняется — это делает шифрование необратимым. После преобразования расширение файла меняется на .fs_invade.

Во всех папках с зашифрованными данными создается файл Полномасштабное_кибервторжение.txt. В этой русскоязычной записке указано, что RURansom создан с целью навредить России. Способа расшифровки не существует, никакой платы тоже не требуется. Примечательна заключительная фраза — «переведено с бангла [бенгали] на русский с помощью Google Translate». Никаких доказательств того, что это именно так, не найдено.

Новоявленного вредителя детектирует большинство антивирусов из коллекции VirusTotal.  Данных о заражениях пока нет.

Обнаружены также другие творения автора RURansom — загрузчик для криптомайнера XMRig и еще один деструктор, с говорящим именем dnWipe. Последний примечателен тем, что исполняется только во вторникам; он просто кодирует по base64 содержимое файлов .doc, .docx, .png, .gif, .jpeg, .jpg, .mp4, .txt, .flv, .mp3, .ppt, .pptx, .xls и .xlsx — расшифровка в этом случае не составит труда.

Android-троян RedHook включает отладку и лезет в систему как разработчик

Android-вредонос RedHook вернулся с апгрейдом, от которого владельцам смартфонов точно не станет спокойнее. Троян, впервые описанный в июле 2025 года, теперь умеет самостоятельно злоупотреблять ADB Wireless Debugging и получать шелл-права уровня uid 2000. Он не просто следит за экраном и крадёт данные, а лезет глубже в систему через легальные инструменты для разработчиков.

Базовый набор RedHook и раньше был неприятным: трансляция экрана, кейлоггер, управление интерфейсом через Accessibility, кража учётных данных. Но новые версии пошли дальше.

Вредонос использует разрешения Accessibility, чтобы сам включать режим разработчика, переходить в настройки и активировать беспроводную ADB-отладку. Всё это он делает за спиной пользователя, прикрываясь полноэкранным оверлеем.

 

Дальше в ход идёт встроенный ADB-клиент и подход в стиле Shizuku — легитимного инструмента, который позволяет приложениям работать с ADB-демоном локально. Только здесь удобство для энтузиастов превращается в подарок для атакующих.

 

После запуска привилегированного серверного процесса RedHook может выдавать себе разрешения, менять системные настройки, выполнять шелл-команды, тихо устанавливать и удалять приложения, а также перехватывать низкоуровневые касания без новых запросов к пользователю.

Распространяют RedHook по старинке — через социальную инженерию. Операторы подсовывают APK через фейковые сайты госорганов и финансовых организаций, а затем убеждают жертву установить приложение звонками или сообщениями. По данным Group-IB, кампания расширилась с Вьетнама на Индонезию, что указывает на более широкую активность в Юго-Восточной Азии.

 

За живучесть трояна тоже можно поставить мрачный плюс. Он использует однопиксельную активность, тихий звук в MediaSession, WakeLock, взаимный перезапуск процессов и восстановление после перезагрузки. После старта устройства RedHook снова включает Wireless ADB, подгружает ключи и быстро возвращает себе привилегированный доступ.

Командный сервер управляет вредоносом через WebSocket и REST: принимает пароли, СМС, скриншоты, кейлоги и отдаёт команды — от жестов на экране до включения камеры и установки APK.

RSS: Новости на портале Anti-Malware.ru