El malware RuRansom destruye datos en sistemas rusos

RuRansom malware destroys data

Los especialistas de VMware hablaron sobre la actividad del limpiador RuRansom, que ataca los sistemas rusos y destruye deliberadamente sus datos, incluyendo copias de seguridad. A diferencia de los criptógrafos comunes y corrientes que exigen rescates a las víctimas, el autor de RuRansom no pide dinero, pero simplemente pretende causar daño a la Federación Rusa.

A propósito, déjame recordarte que informamos que Los grupos de hackers se dividieron: algunos de ellos apoyan a Rusia, otros Ucrania.

A principios de marzo, Los analistas de Trend Micro escribieron sobre RuRansom, quién habló a usuarios y empresas sobre la nueva víbora antirrusa. Según la empresa, el malware apareció en febrero 26 y fue creado como un software destructivo, específicamente para destruir las copias de seguridad y los datos de las víctimas.

Como expertos de VMware, que han preparado su propio análisis, Ahora di, Viper está escrito en .NET y se propaga como un gusano y se copia a sí mismo como un archivo con una extensión doble doc.exe en todas las unidades extraíbles y recursos de red conectados..

El malware RuRansom destruye datos

Después de ser iniciado en la máquina víctima, el malware llama inmediatamente a IsRussia() función, comprobar la dirección IP pública del sistema utilizando un servicio conocido ubicado en https://API[.]ipificar[.]organización. Luego, RuRansom usa la dirección IP para determinar la ubicación geográfica de la máquina usando un servicio de geolocalización conocido usando el formato URL. https://ip-api[.]com/#[IP pública].

Nota: Y también, por ejemplo, informamos que Los códigos fuente filtrados del ransomware Conti se utilizaron para atacar a las autoridades rusas.

Si el objetivo no está en Rusia, el malware muestra un mensaje en la pantalla: “Sólo los usuarios rusos pueden ejecutar el programa.” y detiene la ejecución.

Si el proceso no se interrumpe, el malware obtiene privilegios de administrador utilizando cmd.exe /c powershell proceso de inicio -verbo runas y procede a cifrar los datos. El cifrado se aplica a todas las extensiones excepto a los archivos .bak., que se eliminan. Los archivos se cifran utilizando el algoritmo AES-CBC con un salt codificado y una clave de longitud base64 generada aleatoriamente. («Invasión cibernética a escala completa + » + Nombre de la máquina).

Al mismo tiempo, la nota dejada por el autor del malware en el código y el archivo «Cyber-invasion.txt a escala completa» dice que no necesita rescate, y quiere dañar a Rusia vengando el «operación militar especial» en Ucrania.

No hay forma de descifrar tus archivos.. Sin pago, solo daño. dice el desarrollador en un mensaje.

 

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *