RU_Ransom

RU_Ransom Ransomware

RURansom Ransomware

(шифровальщик-вымогатель, стиратель, деструктор, пугатель) (первоисточник)
Translation into English

Этот крипто-вымогатель сначала шифрует файлы с помощью алгоритма AES (режим CBC), а на самом деле создан, чтобы атаковать российских пользователей. Оставляет сообщение, что файлы повреждены и их не вернуть. Оригинальное название: RU_Ransom (написано в записке). На файле написано: RURansom.exe. Написан на языке программирования .NET. 

---
Обнаружения:
DrWeb -> Trojan.Encoder.35017, Trojan.Encoder.35064, Trojan.Encoder.35066, 

BitDefender -> Gen:Heur.Ransom.MSIL.!diop!.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AOS
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypmodng.gen
Malwarebytes -> Ransom.FileCryptor
Rising -> Trojan.Generic/MSIL@AI.94 (RDM.MSIL:*
Tencent -> Msil.Trojan.Crypmodng.Efap
TrendMicro -> Ransom.MSIL.RUCRYPT.YXCCD
---

© Генеалогия: ??? >> RURansom (RU_Ransom)

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце февраля и начале марта 2022 г. Ориентирован на русскоязычных пользователей, имеющих российский IP-адрес. Ни о каких пострадавших компьютерах россиян пока не сообщалось. RuRansom имеет функционал вайпера, стирающего данные. Уплата выкупа бесполезна! 

К зашифрованным файлам добавляется расширение: .fs_invade

Записка с требованием выкупа называется: Полномасштабное_кибервторжение.txt

Содержание записки о выкупе:
24 февраля президент Владимир Путин объявил войну Украине.

Чтобы противостоять этому, я, создатель RU_Ransom, создал эту вредоносную программу для нанесения ущерба России. Вы купили это себе, господин президент.

Нет никакого способа расшифровать ваши файлы. Никакой оплаты, только ущерб. И да, это "миротворчество", как это делает Влади Папа, убивая невинных мирных жителей

И да, это было переведено с бангла на русский с помощью Google Translate...

Перевод записки на английский язык (с помощью Google Translate):

On February 24, President Vladimir Putin declared war on Ukraine.

To counter this, I, the creator of RU_Ransom, created this malware to harm Russia. You bought it for yourself, Mr. President.

There is no way to decrypt your files. No payment, only damage. And yes, this is \"peacekeeping\", as Vladi Papa does, killing innocent civilians

And yes, it was translated from Bangla to Russian using Google Translate...

Под словом "бангла" подразумевается бенгальский язык (Бангладеш). Нет никаких доказательств, что это не имитация. Больше похоже на выпендреж и самолюбование. Специалисты TrendMicro нашли образцы других "творений" этого диванного бойца. Образцы есть в статье. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Написан на языке программирования .NET и распространяется как червь, копируя себя под именем файла "Россия-Украина_Война-Обновление.doc.exe" на все съемные диски и подключенные сетевые ресурсы. В переводе на английский название файла звучит как "Russia-Ukraine_War-Update.doc.exe".

➤ Файлы шифруются случайно сгенерированным ключом длиной base64 (FullScaleCyberInvasion + MachineName). Ключи уникальны для каждого зашифрованного файла и нигде не сохраняются, что делает шифрование необратимым, поэтому это по большей части стиратель (wiper), а не классический ransomware.

➤ Использует PowerShell для запуска командаплета Start-Process. 

Список типов файлов, подвергающихся шифрованию:
нацелен на все файлы во всех папках и подпапках, кроме файлов .bak, которые удаляются.  

Файлы, связанные с этим Ransomware:
Полномасштабное_кибервторжение.txt - название файла с требованием выкупа;
Россия-Украина_Война-Обновление.doc.exe - название вредоносного файла;

RURansom.pdb - название файла проекта; 

RURansom.exe - название вредоносного файла. 

 

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin1\source\repos\RURansom\RURansom\obj\Debug\RURansom.pdb

Записи реестра, связанные с этим Ransomware:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\RURansom_RASAPI32\ConsoleTracingMask

HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\RURansom_RASAPI32

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\RURansom_RASAPI32\FileDirectory

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\RURansom_RASAPI32\FileTracingMask

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\RURansom_RASAPI32\EnableFileTracing

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\RURansom_RASAPI32\MaxFileSize

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\RURansom_RASAPI32\EnableConsoleTracing

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: fe43de9ab92ac5f6f7016ba105c1cb4e

SHA-1: 27a16e1367fd3e943a56d564add967ad4da879d8

SHA-256: 8f2ea18ed82085574888a03547a020b7009e05ae0ecbf4e9e0b8fe8502059aae

Vhash: 214036555518084a60020

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

---

IOC: VT, IA, TG, AR, VMR, JSB

MD5: 8fe6f25fc7e8c0caab2fdca8b9a3be89

SHA-1: a30bf5d046b6255fa2c4b029abbcf734824a7f15

SHA-256: 107da216ad99b7c0171745fe7f826e51b27b1812d435b55c3ddb801e23137d8f

Vhash: 22503675151110c510f1020

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

---

IOC: VT, IA, TG

MD5: 01ae141dd0fb97e69e6ea7d6bf22ab32

SHA-1: c35ab665f631c483e6ec315fda0c01ba4558c8f2

SHA-256: 1f36898228197ee30c7b0ec0e48e804caa6edec33e3a91eeaf7aa2c5bbb9c6e0

Vhash: 2350367515170a1701010

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 7 марта 2022:

Сообщение >>

Изменения: Добавлена проверка "IsRussia" по IP, через сайт ipinfo.io, для других стран показывается сообщение: 

Программу могут запускать только российские пользователи 

ОШИБКА!

Файл: RURansom.exe
IOC: VT, HA, IA, TG, AR, VMR, JSB

Обнаружения: 

DrWeb -> Trojan.Encoder.35064

BitDefender -> Gen:Heur.Ransom.MSIL.!diop!.1

ESET-NOD32 -> A Variant Of MSIL/Filecoder.AOS

Malwarebytes -> Ransom.FileCryptor

Tencent -> Msil.Trojan.Ransom.Htvq

TrendMicro -> Ransom.MSIL.RUCRYPT.YXCCHT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.