Аналитики из MalwareHunterTeam, Trend Micro и Cyble обнаружили новый вирус, нацеленный только на российских пользователей Windows-систем. Вирус шифрует данные без возможности восстановления.

Дальнейшее исследование провели специалисты из компании VMware. Зловред называется RURansom, это шифровальщик, который проходит несколько этапов проверки антивируса, причём это происходит с задействованием легитимных сервисов.

Вирус не запускается, если потенциальная жертва находится за пределами России, но если определяется российский IP-адрес, запускается проверка прав текущего пользователя. Если уровень ниже администратора, в этом случае RURansom использует оболочку PowerShell для запуска Start-Process, чтобы повысить привилегии в системе.

В итоге вирус собирает информацию о доступных на компьютере носителях. Если обнаруживаются съёмные или сетевые хранилища, зловред записывает свою копию под названием Россия-Украина_Война-Обновление.doc.exe, а на диске С зашифровывает только содержимое папки текущего пользователя. На всех остальных жёстких дисках шифруется всё, кроме файлов конфигурации запущенных приложений и резервных копий с расширением .bak — их вирус полностью удаляет, из-за чего восстановление данных становится невозможным.

Во всех папках с зашифрованными данными создаётся файл Полномасштабное_кибервторжение.txt. По сути, это описание вируса, в котором автор указывает, что программа создана с целью навредить России. При этом способа расшифровки файлов не существует, также не требуется никаких денег.

Источник: Ferra