До недавнего времени расстановка сил в мире вирусов-шифровальщиков была вполне себе определенная. Рынок делили REvil, Avaddon, и несколько других не очень больших интернациональных хакерских группировок.
Все шифровальщики работали по схеме ransom-as-a-service и некоторые из них были запрограммированы на благородный отказ во взаимодействии с русской раскладкой.
При виде нее шифровальщик должен был непременно раскланяться, извиниться и уйти восвояси, закрыть дверь, поправив придверный коврик.
Все изменилось 24 февраля 2022 года, когда весь цивилизованный мир решил отменить Россию.
С начала нулевых, бренд “русские хакеры” наводил ужас на западную впечатлительную публику. Тут уместно было бы применить известное выражение: боятся - значит уважают. На них, как и на русскую мафию, списывали все непонятное, загадочное, дерзкое. Ими восхищались, их боялись, их ловили и сажали.
Поговаривают, что в американских тюрьмах при виде новичка с колоритным русским акцентом задают всего два вопроса: ты русский? и Русский хакер? В обоих случаях почет и уважение будут гарантированы.
Прототипом русских хакеров даже стали персонажи известного сериала “Мистер Робот”.
На протяжении трех недель с начала известной военной операции развернулась полномасштабная информационная война против РФ, и, видимо, для раздела “русские хакеры” было уготовано отдельное место в информационном аду за все годы буржуйского страха.
Группировки “русских хакеров” всегда состояли из разных представителей бывшего СНГ. В одной группе единомышленников могли состоять русские, украинцы, белорусы, американцы, и европейцы.
Именно поэтому когда хакеры Анонимус объявили кибервойну России, в интернациональных группировках русских хакеров случился вполне прогнозируемый коллапс, который, впрочем, продлился недолго.
Отличительной особенностью шифровальщиков “made in Russia” стало то, что, при получении ключа дешифрования, блокировка данных действительно снималась. Другие, менее благородные зарубежные пираты, попросту не могли дешифровать собственный вирус.
На “благородстве” русских вирусов этой категории сказывалась сильная математическая советская школа, в то время как зарубежные малвари могли только мечтать о таком уровне знаний в криптографии.
Решив окончательно не вдаваться в подробности этой сложной науки, с легкой руки таких хакеров, вирус -шифровальщик превратился в вирус-стиратель.
То есть его миссия не зашифровать данные, чтобы получить выкуп, а просто стереть их. Из вредности.
После открывшегося информационного ящика пандоры, такие хакеры всерьез решили возвыситься за счет своего неумения писать качественные вирусы и на свет появился некий RuRansom. Вирус-стиратель, оружие возмездия против русских. Здрасьте.
RuRansom. Разбор
C:\Users\Admin1\source\repos\RURansom\RURansom\obj\Debug\RURansom.pdb
Итак, поведение этого вируса похоже не червя, который распространяется по сети, а также на физических носителях.
Разумеется, поскольку миссия у него обозначена, как мстительная, нужно написать пояснительную записку и выглядит она вот так:
Проанализировав хэш данного вируса
SHA256-107da216ad99b7c0171745fe7f826e51b27b1812d435b55c3ddb801e23137d8
По какому принципу вирус выбирает "жертву"?
Как можно увидеть на этой картинке, по IP-адресу, принадлежащему РФ.
Что ж, наконец-то мы увидели, как выглядит фраза "Я тебя по IP вычислю" в реальности.
Особенностью этого вируса является то, что он не пытается получить права администратора, он исполняется через команды Power Shell с повышенными правами.
cmd.exe /c powershell stART-PRoceSS Assembly.GetExecutingAssembly().Location -veRB rUnAS
Далее он занимается поисков установленных драйверов.
Далее он зашифровывает все данные на хосте и, во избежание их восстановления, удаляет все файлы с расширением .bak
Для зашифровки файлов малварь использует AES-CBC.
Оставляет послание русскому миру Полномасштабное_кибервторжение.txt (Full-blown_cyber-invasion.txt)
Файлы зашифровываются случайным AES ключом.
Затем вирус себя переименовывает в Россия-Украина_Война-Обновление.doc.exe (Russia-Ukraine_War-Update.doc.exe) и распространяется по сети.
При исследовании этого вируса, становится очевидным его сходство с другой малварью dnWiper. В отличии от RuRansom, он зашифровывал только определенные типы файлов:
Добавим заключительной полезной информации о вирусе:
В заключение хотелось бы отметить, что зарубежные исследователи вовсю беспокоятся за то, что кибервойна между двумя, как они считают, государствами, может по касательной задеть их продукты и сервисы.
Вероятно это может быть второй или третьей причиной массового "исхода" зарубежного ПО с российского рынка или поддержки одной стороны.
Ваше мнение может не совпадать с моим)
