ИБ-исследователь Алекс Свирид (Alex Svirid) обнаружил, что разработчик вымогателя Sigrun готов бесплатно расшифровать данные русскоязычных пользователей из стран, состоявших в СССР. Об этом сообщает портал Bleeping Computer.

Эксперты признают, что такое поведение свойственно киберпреступникам из России: чтобы избежать уголовного преследования внутри страны, они программируют зловреды так, чтобы обходить русскоязычных пользователей, или готовы бесплатно им помочь.

В качестве доказательства версии Свирида другой исследователь информационной безопасности под ником S!Ri продемонстрировал два email-сообщения от автора шифровальщика, в одном из которых тот предлагает бесплатный дешифратор пользователю из России, а в другом обсуждает размер выкупа с пользователем из США.

Автор зловреда категорически отрицает свое русское происхождение. В переписке с представителями Bleeping Computer он объяснил, что защита пользователей из бывших стран СССР — требование его белорусских партнеров.

Вымогатель Sigrun сначала проводит сканирование системы в поисках русской раскладки клавиатуры. Если такая находится, зловред самоуничтожается, не нанося вреда. В ином случае шифровальщик сканирует систему в поисках файлов, при этом избегая затрагивать некоторые форматы и директории. В процессе шифрования к файлам добавляется расширение .sigrun.

Жертве предлагают связаться с автором по электронной почте. Размер выкупа составляет $2,5 тыс. в криптовалюте Bitcoin или Dash, при этом злоумышленник готов расшифровать три файла бесплатно, чтобы продемонстрировать работоспособность ключа.

Категории: Аналитика, Вредоносные программы