Шифровальщик-деструктор RURansom запускается только в России

Татьяна Никитина 15 Апреля 2022 - 18:15

Домашние пользователи

Корпорации

Программы-вымогатели

Программы-шифровальщики

Санкции против России

...

Шифровальщик-деструктор RURansom запускается только в России

Исследователи из VMware опубликовали результаты анализа RURansom —зловреда, шифрующего файлы на российских Windows-машинах без возможности возврата. Его автор не скрывает, что создал программу, способную уничтожать данные и резервные копии, с целью причинить ущерб России.

Написанный на .NET вредонос RURansom появился в поле зрения ИБ-экспертов в начале прошлого месяца. Сначала об обнаружении необычного шифровальщика сообщила команда MalwareHunterTeam, затем последовали развернутые публикации Trend Micro и Cyble.

Исследование, проведенное в VMware, подтвердило результаты, полученные коллегами-аналитиками. При запуске RURansom вызывает функцию IsRussia() для проверки IP-адреса и геолокации зараженной системы (выполняется с использованием API легитимных веб-сервисов). Если жертва находится за пределами России, зловред отображает сообщение «Программу могут запускать только российские пользователи» и завершает свое исполнение.

В противном случае наступает следующий этап — проверка прав текущего пользователя. Если уровень ниже администратора, RURansom использует PowerShell для запуска командлета Start-Process, чтобы повысить привилегии.

По завершении всех проверок вредонос начинает собирать информацию о доступных носителях. Обнаружив съемное или подключенное сетевое хранилище, он оставляет там свою копию (с именем Россия-Украина_Война-Обновление.doc.exe); на диске C: шифруется только содержимое папки текущего пользователя.

На остальных найденных жестких дисках зловред шифрует все подряд. Исключение составляют только файлы конфигурации запущенных приложений (хранятся в %AppData%), а также резервные копии (файлы .bak) — эти он беспощадно удаляет, чтобы воспрепятствовать восстановлению данных.

Для шифрования используется AES в режиме CBC, с добавлением вшитой в код соли. Для каждого файла создается свой ключ, который потом кодируется по base64 и нигде не сохраняется — это делает шифрование необратимым. После преобразования расширение файла меняется на .fs_invade.

Во всех папках с зашифрованными данными создается файл Полномасштабное_кибервторжение.txt. В этой русскоязычной записке указано, что RURansom создан с целью навредить России. Способа расшифровки не существует, никакой платы тоже не требуется. Примечательна заключительная фраза — «переведено с бангла [бенгали] на русский с помощью Google Translate». Никаких доказательств того, что это именно так, не найдено.

Новоявленного вредителя детектирует большинство антивирусов из коллекции VirusTotal. Данных о заражениях пока нет.

Обнаружены также другие творения автора RURansom — загрузчик для криптомайнера XMRig и еще один деструктор, с говорящим именем dnWipe. Последний примечателен тем, что исполняется только во вторникам; он просто кодирует по base64 содержимое файлов .doc, .docx, .png, .gif, .jpeg, .jpg, .mp4, .txt, .flv, .mp3, .ppt, .pptx, .xls и .xlsx — расшифровка в этом случае не составит труда.

Следующая главная новость »

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »

Яков Шпунт 30 Декабря 2025 - 11:55

Соответствие законодательству РФ Общее Защита от мошенничества Безопасность платежей Безопасность банковских карт

Российские банки все чаще блокируют карты за переводы себе

Российские банки всё чаще замораживают карты клиентов из-за переводов самому себе. В ряде случаев речь идёт лишь о блокировке конкретных операций, но нередко банки ограничивают доступ ко всему счёту. Даже после подтверждения транзакций восстановление доступа происходит не сразу. Как отметил начальник аналитического отдела инвесткомпании «Риком-Траст» Олег Абелев, риск получить крупный штраф или даже лишиться лицензии для банков оказывается важнее риска потерять клиента.

Опрошенные «Известиями» юристы и финансовые эксперты связывают такую практику с тем, что кредитные организации всё чаще перестраховываются, опасаясь серьёзных санкций со стороны регуляторов — Росфинмониторинга и Банка России.

При этом, как отметил управляющий партнёр юридической компании «Провъ» Александр Киселев, под блокировки попадают не только крупные суммы, но и совсем небольшие переводы. На профильных форумах пользователи приводят примеры блокировки карт после перевода всего 150 рублей. Количество подобных случаев, по их словам, продолжает расти.

«Жалобы клиентов на блокировки карт после переводов самому себе сегодня уже не редкость. Рынок захлестнула волна мошенничества, и регулятор требует от банков действовать на опережение. Однако на практике под заморозку всё чаще попадают добросовестные клиенты. В ряде случаев такие меры выглядят чрезмерными и плохо соразмерными реальным рискам», — рассказал директор по стратегии ИК «Финам» Ярослав Кабаков.

«Известия» также привели несколько реальных примеров с форума «Банки.ру». Так, клиент одного из крупнейших банков пытался перевести зарплату на карту другого банка и смог сделать это лишь со второй попытки — после подтверждения по телефону. Через несколько дней при попытке перевести отпускные банк ввёл ограничения, снять которые удалось только при личном визите в офис.

Другой клиент того же банка столкнулся с блокировкой карты при выводе средств с закрытого счёта. Карту разблокировали после звонка на горячую линию, однако уже через неделю её снова заблокировали. Полностью восстановить доступ удалось лишь с пятой попытки. В банке такие действия объяснили «стандартными мерами предосторожности».

В ответ на запрос издания в Банке России напомнили, что кредитные организации обязаны проверять операции клиентов на предмет возможного мошенничества. При этом, сославшись на закон «О национальной платёжной системе», регулятор подчеркнул: банки вправе приостанавливать конкретные операции, но не блокировать счета или карты целиком. Если клиент повторно проводит операцию или подтверждает перевод, банк обязан его исполнить.

Однако в ЦБ также напомнили, что с 1 января перечень подозрительных операций будет расширен. В него, в частности, войдут переводы самому себе через Систему быстрых платежей при определённых условиях — например, если перевод осуществляется человеку, с которым не было операций в течение последних шести месяцев, а менее чем за сутки до этого клиент перевёл самому себе сумму от 200 тыс. рублей. Эти меры были анонсированы ещё в ноябре.

Чтобы снизить риск блокировок, Александр Киселев рекомендует придерживаться привычного финансового поведения: указывать назначение платежа в комментариях, использовать только проверенные устройства и по возможности разделять карты для личных операций и бизнеса.

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »