Появился вирус, который шифрует и удаляет данные если обнаружит, что вы из России

Про вирусы-шифровальщики я уже не раз рассказывал на своей страничке, но данный экземпляр интересен тем, что заточен исключительно на россиян и не вымогает денег за возможность расшифровать данные. Цель у RU_Ransom (именно такое название получила новая малварь) одна – нанести максимальный ущерб, этакая месть разработчика за "специальную военную операцию" в Украине.

Нет никакого способа расшифровать ваши файлы, никакой оплаты, только ущерб

Именно такое сообщение оставляет после своей работы крипто-вымогатель RU_Ransom, но по своему деструктивному воздействию, его скорее следует называть вайпером (wiper, от английского wipe — «стирать»).

Стоит отметить, что под раздачу могли попасть не только россияне. Зараженному компьютеру достаточно было просто находиться на территории РФ, так как зловред проверяет соответствие российскому IP-адресу через сайт ipinfo.io (ну такая себе проверка если честно). Для других стран показывается сообщение:

Программу могут запускать только российские пользователи
ОШИБКА!

Ну не знаю, не будь здесь этого опуса, был бы очередной клон вируса-вымогателя, а так попахивает каким-то самолюбованием и выглядит излишне театрально. Для полномасштабного кибервторжения явно не дотягивает, а сам автор только преумножает зло, ведь разрушать всегда легче, чем строить.

Наибольшая активность данного творения была замечена в конца февраля и начале марта 2022 года и распространялся он через незащищенную конфигурацию RDP (всегда дополнительно используйте VPN), почтовый спам (до сих пор полно любителей тыкать во всё что им присылают), фальшивые обновления и заражённые инсталляторы программ. В общем, ничего нового.

Так что, в случае заражения, с данными можно распрощаться, механизма вернуть всё назад нет. Делайте резервные копии и не тыкайтесь во всё, что приходит вам по почте. Впрочем, сильного распространения и популярности данный червь не приобрёл.