Los especialistas de VMware hablaron sobre la actividad del limpiador RuRansom, que ataca los sistemas rusos y destruye deliberadamente sus datos, incluyendo copias de seguridad. A diferencia de los criptógrafos comunes y corrientes que exigen rescates a las víctimas, el autor de RuRansom no pide dinero, pero simplemente pretende causar daño a la Federación Rusa.
A propósito, déjame recordarte que informamos que Los grupos de hackers se dividieron: algunos de ellos apoyan a Rusia, otros Ucrania.
A principios de marzo, Los analistas de Trend Micro escribieron sobre RuRansom, quién habló a usuarios y empresas sobre la nueva víbora antirrusa. Según la empresa, el malware apareció en febrero 26 y fue creado como un software destructivo, específicamente para destruir las copias de seguridad y los datos de las víctimas.
Como expertos de VMware, que han preparado su propio análisis, Ahora di, Viper está escrito en .NET y se propaga como un gusano y se copia a sí mismo como un archivo con una extensión doble doc.exe en todas las unidades extraíbles y recursos de red conectados..
Después de ser iniciado en la máquina víctima, el malware llama inmediatamente a IsRussia() función, comprobar la dirección IP pública del sistema utilizando un servicio conocido ubicado en https://API[.]ipificar[.]organización. Luego, RuRansom usa la dirección IP para determinar la ubicación geográfica de la máquina usando un servicio de geolocalización conocido usando el formato URL. https://ip-api[.]com/#[IP pública].
Nota: Y también, por ejemplo, informamos que Los códigos fuente filtrados del ransomware Conti se utilizaron para atacar a las autoridades rusas.
Si el objetivo no está en Rusia, el malware muestra un mensaje en la pantalla: “Sólo los usuarios rusos pueden ejecutar el programa.” y detiene la ejecución.
Si el proceso no se interrumpe, el malware obtiene privilegios de administrador utilizando cmd.exe /c powershell proceso de inicio -verbo runas y procede a cifrar los datos. El cifrado se aplica a todas las extensiones excepto a los archivos .bak., que se eliminan. Los archivos se cifran utilizando el algoritmo AES-CBC con un salt codificado y una clave de longitud base64 generada aleatoriamente. («Invasión cibernética a escala completa + » + Nombre de la máquina).
Al mismo tiempo, la nota dejada por el autor del malware en el código y el archivo «Cyber-invasion.txt a escala completa» dice que no necesita rescate, y quiere dañar a Rusia vengando el «operación militar especial» en Ucrania.