RU_Ransom Ransomware
RURansom Ransomware
(шифровальщик-вымогатель, стиратель, деструктор, пугатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.35017, Trojan.Encoder.35064, Trojan.Encoder.35066,
Обнаружения:
DrWeb -> Trojan.Encoder.35017, Trojan.Encoder.35064, Trojan.Encoder.35066,
BitDefender -> Gen:Heur.Ransom.MSIL.!diop!.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AOS
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypmodng.gen
Malwarebytes -> Ransom.FileCryptor
Rising -> Trojan.Generic/MSIL@AI.94 (RDM.MSIL:*
Tencent -> Msil.Trojan.Crypmodng.Efap
TrendMicro -> Ransom.MSIL.RUCRYPT.YXCCD
---
© Генеалогия: ??? >> RURansom (RU_Ransom)
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AOS
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypmodng.gen
Malwarebytes -> Ransom.FileCryptor
Rising -> Trojan.Generic/MSIL@AI.94 (RDM.MSIL:*
Tencent -> Msil.Trojan.Crypmodng.Efap
TrendMicro -> Ransom.MSIL.RUCRYPT.YXCCD
---
© Генеалогия: ??? >> RURansom (RU_Ransom)
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была в конце февраля и начале марта 2022 г. Ориентирован на русскоязычных пользователей, имеющих российский IP-адрес. Ни о каких пострадавших компьютерах россиян пока не сообщалось. RuRansom имеет функционал вайпера, стирающего данные. Уплата выкупа бесполезна!
К зашифрованным файлам добавляется расширение: .fs_invade
Записка с требованием выкупа называется: Полномасштабное_кибервторжение.txt
Записка с требованием выкупа называется: Полномасштабное_кибервторжение.txt
Содержание записки о выкупе:
24 февраля президент Владимир Путин объявил войну Украине.
24 февраля президент Владимир Путин объявил войну Украине.
Чтобы противостоять этому, я, создатель RU_Ransom, создал эту вредоносную программу для нанесения ущерба России. Вы купили это себе, господин президент.
Нет никакого способа расшифровать ваши файлы. Никакой оплаты, только ущерб. И да, это "миротворчество", как это делает Влади Папа, убивая невинных мирных жителей
И да, это было переведено с бангла на русский с помощью Google Translate...
Перевод записки на английский язык (с помощью Google Translate):
Перевод записки на английский язык (с помощью Google Translate):
On February 24, President Vladimir Putin declared war on Ukraine.
To counter this, I, the creator of RU_Ransom, created this malware to harm Russia. You bought it for yourself, Mr. President.
There is no way to decrypt your files. No payment, only damage. And yes, this is \"peacekeeping\", as Vladi Papa does, killing innocent civilians
And yes, it was translated from Bangla to Russian using Google Translate...
Под словом "бангла" подразумевается бенгальский язык (Бангладеш). Нет никаких доказательств, что это не имитация. Больше похоже на выпендреж и самолюбование. Специалисты TrendMicro нашли образцы других "творений" этого диванного бойца. Образцы есть в статье.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Написан на языке программирования .NET и распространяется как червь, копируя себя под именем файла "Россия-Украина_Война-Обновление.doc.exe" на все съемные диски и подключенные сетевые ресурсы. В переводе на английский название файла звучит как "Russia-Ukraine_War-Update.doc.exe".
➤ Файлы шифруются случайно сгенерированным ключом длиной base64 (FullScaleCyberInvasion + MachineName). Ключи уникальны для каждого зашифрованного файла и нигде не сохраняются, что делает шифрование необратимым, поэтому это по большей части стиратель (wiper), а не классический ransomware.
➤ Использует PowerShell для запуска командаплета Start-Process.
Список типов файлов, подвергающихся шифрованию:
нацелен на все файлы во всех папках и подпапках, кроме файлов .bak, которые удаляются.
Файлы, связанные с этим Ransomware:
Полномасштабное_кибервторжение.txt - название файла с требованием выкупа;
Россия-Украина_Война-Обновление.doc.exe - название вредоносного файла;
Полномасштабное_кибервторжение.txt - название файла с требованием выкупа;
Россия-Украина_Война-Обновление.doc.exe - название вредоносного файла;
RURansom.pdb - название файла проекта;
RURansom.exe - название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Admin1\source\repos\RURansom\RURansom\obj\Debug\RURansom.pdb
Записи реестра, связанные с этим Ransomware:
Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\RURansom_RASAPI32\ConsoleTracingMask
HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\RURansom_RASAPI32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\RURansom_RASAPI32\FileDirectory
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\RURansom_RASAPI32\FileTracingMask
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\RURansom_RASAPI32\EnableFileTracing
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\RURansom_RASAPI32\MaxFileSize
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\RURansom_RASAPI32\EnableConsoleTracing
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: -
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: fe43de9ab92ac5f6f7016ba105c1cb4e
SHA-1: 27a16e1367fd3e943a56d564add967ad4da879d8
SHA-256: 8f2ea18ed82085574888a03547a020b7009e05ae0ecbf4e9e0b8fe8502059aae
Vhash: 214036555518084a60020
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
MD5: 8fe6f25fc7e8c0caab2fdca8b9a3be89
SHA-1: a30bf5d046b6255fa2c4b029abbcf734824a7f15
SHA-256: 107da216ad99b7c0171745fe7f826e51b27b1812d435b55c3ddb801e23137d8f
Vhash: 22503675151110c510f1020
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
---
MD5: 01ae141dd0fb97e69e6ea7d6bf22ab32
SHA-1: c35ab665f631c483e6ec315fda0c01ba4558c8f2
SHA-256: 1f36898228197ee30c7b0ec0e48e804caa6edec33e3a91eeaf7aa2c5bbb9c6e0
Vhash: 2350367515170a1701010
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 7 марта 2022:
Изменения: Добавлена проверка "IsRussia" по IP, через сайт ipinfo.io, для других стран показывается сообщение:
Программу могут запускать только российские пользователи
ОШИБКА!
Файл: RURansom.exe
IOC: VT, HA, IA, TG, AR, VMR, JSB
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
IOC: VT, HA, IA, TG, AR, VMR, JSB
Обнаружения:
DrWeb -> Trojan.Encoder.35064
BitDefender -> Gen:Heur.Ransom.MSIL.!diop!.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AOS
Malwarebytes -> Ransom.FileCryptor
Tencent -> Msil.Trojan.Ransom.Htvq
TrendMicro -> Ransom.MSIL.RUCRYPT.YXCCHT
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message + myMessage Write-up, Topic of Support *
Thanks: MalwareHunterTeam, Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
