Шифровальщик Wagner: вымогательство, вербовка или пустой звук?

Программа-вымогатель под названием Wagner заражает устройства пользователей и приглашает их присоединиться к частной военной компании (ЧВК) «Вагнер», той самой, что недавно предприняла попытку вооружённого мятежа в России.

Исследователи Cyble полагают , что недавно обнаруженная программа, нацелена именно на россиян. Вместо того, чтобы просить денег за расшифровку файлов, вымогатели требуют, чтобы их жертвы вступали в ряды ЧВК.

«Официальный вирус для трудоустройства в ЧВК Вагнер», — такая надпись прямо на русском языке красуется в записке с требованием выкупа, размещенной на устройствах жертв. В той же записке присутствуют и некоторые незаконные призывы к действию.

Исследователи Cyble сообщили в своём отчёте, что «группа Вагнер официально не заявляла о своей причастности к этой программе-вымогателю». Следовательно, лица, ответственные за этот конкретный штамм, могут быть кем угодно.

Проанализированный специалистами экземпляр вредоноса Wagner, по-видимому, является разновидностью вымогателя Chaos , который также развился из другого печально известного вымогателя под названием Ryuk.

При запуске программа инициализирует различные переменные, которые определяют её выполнение, а также сканирует список запущенных процессов на наличие одноимённых процессов, чтобы, чтобы предотвратить одновременный запуск нескольких экземпляров шифровальщика.

Затем процесс повышает свои системные полномочия и прописывается в автозагрузку Windows. После чего начинается сам процесс шифрования, который затрагивает исключительно пользовательские папки на системном диске: рабочий стол, загрузки, изображение, музыка, видео, документы, OneDrive, Roaming в AppData и т.д.

Всего Wagner обнаруживает и шифрует около 230 расширений пользовательских файлов. После шифрования все файлы получают расширение «.Wagner».

Данные на остальных дисках, установленных на компьютере, вредонос не шифрует. Хотя и распространяет на них, включая съёмные носители, файл «surprise.exe», представляющей из себя копию основной программы.

Учитывая тот факт, что настоящая ЧВК «Вагнер» не подтвердила своей причастности к вредоносу, а платёжные реквизиты для уплаты выкупа отсутствуют, жертва никак не сможет восстановить свои файлы, даже если очень сильно этого захочет. Исходя из этого, вымогатель вполне справедливо можно классифицировать как вайпер.

Эксперты рекомендуют регулярно делать резервные копии важных данных и хранить их на других устройствах или в защищённых облаках. Так, даже если вредонос и зашифрует ваши данные, подобная атака не сможет никак на вас повлиять.