RuRansom - это программа-вымогатель, направленная специально против российских систем. Она специально разработана для уничтожения резервных копий и данных жертвы.
RuRansom
После выполнения вредоносная программа немедленно вызывает функцию IsRussia(), которая проверяет публичный IP-адрес системы с помощью известной службы IP-адресов, расположенной по адресу https://api.ipify.org . Затем она использует IP-адрес для определения географического положения машины с помощью известной службы геолокации со структурой URL https://ip-api.com/#<public ip>/
Если геолокация машины-жертвы не содержит слова "Россия", то образец показывает окно с сообщением "Программу могут запускать только российские пользователи" и завершает выполнение.
На следующем этапе вредоносная программа проверяет наличие привилегий администратора. Если программа не запущена под правами администратора, она использует командную строку "cmd.exe /c powershell start-process <путь к исполняемой сборке> -verb runas" для повышения своих привилегий.
После выполнения всех вышеперечисленных проверок вредоносная программа начинает собирать информацию о диске.
Проверяет, является ли целевой диск "C:". Если да, то шифрование будет направлено только на папку "C:\Users\<текущий пользователь>", пропуская все остальные папки.
Для любых жестких дисков, отличных от "C:", пример нацеливается на шифрование каждой папки и файла.
сли путь не равен расположению %AppData%, вредоносная программа перечисляет список файлов и директорий. %AppData% - это известный путь Windows для хранения данных конфигурации установленных приложений учетной записи текущего пользователя. Далее вредоносная программа проверяет, имеет ли файл расширение ".bak". Если да, файл будет удален, чтобы затруднить восстановление. Все остальные файлы шифруются с помощью функции EncryptFile(). Вредоносная программа продолжает рекурсию до тех пор, пока не будут перечислены все каталоги и зашифрованы все файлы.
Каждый файл шифруется с помощью уникального ключа, затем кодируется с помощью base64 и записывается обратно в исходный файл.
Indicators of Compromise
MD5
- 5028a73d50a0a2bd0abe6a24c660cb65
- 4ecd4debe942f6a5e45732d8d073b5ec
- 318d857c4b4c12b1b5d67f37fad616e9
- a6988a9060278741c0ba3e9028de1f97
- 9d298f3eaff0db4fb1f5b3160911e3ee
- a938dbd999f4a1ba7d537c9181c8d902
- 84e5cf74ecbed6caa3e88b1e00e1dc0d
- e5e98aa9efcd4bd83245524ff430b28e
- 013addcf6e3f3a2e7ff441ccdc0433ce
- 94a65c7f033faf7efb1348df4a79f498
- 8fe6f25fc7e8c0caab2fdca8b9a3be89
- 01ae141dd0fb97e69e6ea7d6bf22ab32
- 9c3316a9ff084ed4d0d072df5935f52d
SHA1
- 5104c127b4d56ffe93016582401c250630f6d274
- ed2b4ef1c2f1814c40326a094f8874c683dec68b
- 97dae0c8fc302b6cbbc2e31c756909a16630d9c5
- 34b9694fe6f5adb63f58217f80b4abb53c48e320
- df4a28bdd8b743c16d2c9917c6d39030c07f2c09
- 8746ab9039ad88ebf8aa822473fa2f9947131d19
- b1261722dd055dc6a5e2d2f3839a91390eac24e8
- 085b697d49b103c4a42b20aa8b2f5c4730212653
- dd2a120b485cbf9ff7dd7435ee1d1a3fc4596862
- 06c6dc34a9728f67038a7d41bcbe2372a9c4e6e4
- a30bf5d046b6255fa2c4b029abbcf734824a7f15
- c35ab665f631c483e6ec315fda0c01ba4558c8f2
- c6ef59aa3f0cd1bb727e2464bb728ab79342ad32
SHA256
- fb4f3d9421cf8d35de950ad52ff4dca3a0c3e84c3c770c09c3cf6bbcc540e9d4
- d02ede8735c319012923efc6d4befa78f39fcb6c4ce40cb37a45b419a2efc923
- 009ce5fcce062d699db46559badcf259eb925fcfcf374c0bdea8eb13d5750edf
- ae00bb69f06936ac9afb0475d4b3ddf592e4c61e68327be2051211533a57d919
- 70e8a9b39aa7dd91c461c32ddfeb090b3699e5984beb610787c92afd24ad546b
- a932b37f6ebadfca08beb990cf784ac247317abbc42c72a9961f8d4a1fe7e1fb
- 26e75390015ba36c2723d35ed7a227064892979ad331e0a728e39673feaa24c2
- 2548ad9263dd94109ab22393a08f77364d96c48b0b96640cb530818adb9c08f0
- e0c4021b38f4d2f1e13d0a8374c8ef081be458fc3031e7ad49795a65a013cb43
- ceebcd4472623db39026ae89dc0737d0cdec631cd763d9717d0f4a822a3a2085
- 107da216ad99b7c0171745fe7f826e51b27b1812d435b55c3ddb801e23137d8f
- 1f36898228197ee30c7b0ec0e48e804caa6edec33e3a91eeaf7aa2c5bbb9c6e0
- 696b6b9f43e53387f7cef14c5da9b6c02b6bf4095849885d36479f8996e7e473