Хотя в названии используется слово «ransom» («выкуп»), RuRansom является не вымогательским ПО, а вайпером.

Специалисты подразделения анализа киберугроз компании VMware, занимающейся разработкой ПО для виртуализации, опубликовали анализ вредоносного ПО RuRansom, которое атакует системы в России.

Впервые о RuRansom рассказали эксперты ИБ-компании Trend Micro в марте нынешнего года. Хотя в названии вредоноса используется слово «ransom», что означает «выкуп», RuRansom является не вымогательским ПО, а вайпером, поскольку безвозвратно уничтожает зашифрованные файлы своих жертв.

В записке с требованием выкупа, которые обычно отображают программы-вымогатели, автор вредоноса сообщает свои истинные мотивы. По его словам, он создал RuRansom с единственной целью – причинить ущерб России.

«Нет никакого способа расшифровать ваши файлы. Никакой оплаты, только ущерб», – сообщается в записке.

Вайпер написан на языке программирования .NET и распространяется подобно червю. Во время выполнения он немедленно вызывает функцию IsRussia(), проверяет публичный IP-адрес системы с помощью сервиса https://api[.]ipify[.]org . По IP-адресу вредонос определяет местоположение машины с помощью еще одного сервиса с URL-структурой https://ip-api[.]com/#<public ip>.

Если геолокационные данные машины не содержат слово «Россия», появляется уведомление «Программу могут запускать только российские пользователи», и выполнение прекращается.

Источник: securitylab