Novel RURansom malware cilja Rusiju, motivi otkriveni u kodu

Za koji se u početku sumnjalo da je vrsta ransomwarea, čini se da je zlonamjerni softver RURansom malware koji cilja Rusiju zbog rata Moskve protiv Ukrajine.

Istraživači u Trend Micro tvrde da novi zlonamjerni softver RURansom nije ono što se čini. Prvo za koje se mislilo da je nova vrsta ransomwarea, kao što ime implicira, čini se da autori buga imaju motive izvan financijske dobiti.

Prema riječima sigurnosnih istraživača, do sada nisu viđene aktivne mete. Međutim, to može biti zbog toga što malware cilja određene subjekte u Rusiji.

Autori zlonamjernog softvera ne kriju svoje razloge širenja zlonamjernog softvera. Varijabla koda RURansom odgovorna za otkupninu sadrži poruku koja u slobodnom prijevodu glasi

"24. veljače predsjednik Vladimir Putin objavio je rat Ukrajini. Da bih se tome suprotstavio, ja, tvorac RU_Ransoma, stvorio sam ovaj zlonamjerni softver da naškodim Rusiji. Kupili ste ovo za sebe, gospodine predsjedniče. Ne postoji način da dešifrirate svoje datoteke. Bez plaćanja, samo šteta", stoji u poruci na ruskom.

Trend Micro tvrdi da je zlonamjerni softver napisan u programskom jeziku .NET. Crv se širi kopiranjem pod imenom datoteke na ruskom "Russia-Ukraine war update.".

Datoteka se kopira na sve uklonjive diskove i mapirane mrežne diskove, pokušavajući postići maksimalan učinak.

Nakon što je implementacija dovršena, zlonamjerni softver šifrira datoteke. Nijedna datoteka nije pošteđena enkripcije. Iako .bak datoteke nisu šifrirane, zlonamjerni softver ih briše.

Algoritam šifriranja dodjeljuje nasumični ključ za šifriranje svakoj datoteci. Budući da ključevi nisu nigdje pohranjeni, ne postoji način za dešifriranje datoteka, čime se zlonamjerni softver čini malware a wiper, a ne ransomwareom.

Prema istraživačima, neke verzije zlonamjernog softvera prvo provjeravaju je li IP adresa korisnika u Rusiji.

"U slučajevima kada je softver pokrenut izvan Rusije, ove verzije će zaustaviti izvršavanje, pokazujući svjesni napor da se ciljaju samo na ruska računala", tvrde autori izvješća.

Zaštitite uređaj sa Emsisoft Anti-Malware.


Je li vas antivirus iznevjerio? Mi nećemo. Preuzmite besplatnu probnu inačicu Emsisoft Anti-Malware i uvjerite se sami.

Image

Danas je sjedište tvrtke Emsisoft na Novom Zelandu, ali održava globalnu prisutnost putem lokalnih timova u svim vremenskim zonama. Zlonamjerni softver ne spava, a ni mi.

Korisni linkovi

Pratite nas