Авторы шифровальщика Ryuk добавили в него дополнительную проверку целевого устройства по IP и имени компьютера. Если атакуемая система подпадает под условия стоп-листа, зловред прекращает работу и не кодирует информацию.

Попав на инфицированное устройство, новый штамм формирует запрос вида arp -a и сравнивает полученный в ответ IP-адрес компьютера с маской, заданной в коде программы. Если идентификатор машины совпадает с одной из последовательностей в стоп-листе, шифрование информации не производится.

Ryuk также проверяет имя рабочей станции на наличие в нем следующих сочетаний символов:

  • SPB
  • Spb
  • spb
  • MSK
  • Msk
  • msk

По мнению специалиста по информационной безопасности Виталия Кремеза, необходимость подобной проверки вызвана желанием создателей зловреда исключить возможность заражения устройств, находящихся на территории России.

Предыдущие версии Ryuk тоже проверяли геолокацию компьютера, однако, как считают эксперты, российские пользователи все равно могли попасть под удар вымогателя. Одним из вариантов инфицирования нецелевых машин аналитики называют способность зловреда к самовоспроизведению. Так, злоумышленник может атаковать компьютер, расположенный в США, а уже с него червь попадет в другие регионы при помощи утилит Empire и Cobalt Strike.

Впервые об атаках Ryuk стало известно в августе прошлого года, когда исследователи MalwareHunterTeam сообщили о нападениях вымогателя на американские и немецкие компании. Специалисты связали активность зловреда с криминальной группировкой Lazarus и выяснили, что вымогатель уже принес злоумышленникам около $640 тыс. В коде программы был прописан запрет на заражение устройств, расположенных в России, Белоруссии и Украине, а сумма выкупа варьировалась в зависимости от платежеспособности жертвы.

Очередной вариант шифровальщика оставляет жертве лаконичное письмо, которое содержит лишь два адреса электронной почты, название зловреда и фразу «balance of shadow universe» (равновесие теневой вселенной). Что означает это выражение и как оно связано с деятельностью киберпреступников, специалистам пока неизвестно.

Категории: Аналитика, Вредоносные программы, Главное