Вайпер RuRansom атакує російські системи та навмисне знищує їх дані, включно з резервними копіями. Перед атакою він перевіряє загальнодоступну IP-адресу системи за допомогою відомого сервісу.
Якщо жертва перебуває не в росії, він виводить на екран повідомлення: «Програму можуть запускати лише російські користувачі» і припиняє виконання.
Якщо ж користувач в росії – вірус отримує привілеї адміністратора і приступає до шифрування даних.
Записка, залишена автором у коді та файлі «Повномасштабне_кібервторгнення.txt», свідчить, що йому не потрібен викуп, і він хоче заподіяти шкоду росії, помстившись за напад на Україну.
На відміну від звичайних шифрувальників, які вимагають викуп у постраждалих, автор RuRansom не просить грошей, а просто прагне завдати шкоди РФ.
Ще на початку березня про RURansom писали аналітики Trend Micro, які застерігали користувачів та компанії про небезпеку нового вайпера (wiper, від англійського to wipe – «стирати», «очищати»). За інформацією компанії, шкідливість з'явилася ще 26 лютого і була створена як деструктивне ПЗ, спеціально для знищення резервних копій та даних жертв.
Як розповідають експерти VMware, вайпер написаний на .NET і поширюється подібно до хробака і копіюючи себе у вигляді файлу з подвійним розширенням doc.exe на всі знімні диски та підключені мережеві ресурси.
«Немає жодного способу розшифрувати ваші файли. Жодної оплати, тільки збитки», – заявляє розробник вірусу в повідомленні, пропущеному через Google Translate.
Нагадаємо, Microsoft зірвала кібератаку російських хакерів на держоргани США, ЄС та України.