Шифровальщик Wagner: вымогательство, вербовка или пустой звук?

Программа-вымогатель под названием Wagner заражает устройства пользователей и приглашает их присоединиться к частной военной компании (ЧВК) «Вагнер», той самой, что недавно предприняла попытку вооружённого мятежа в России.

Исследователи Cyble полагают , что недавно обнаруженная программа, нацелена именно на россиян. Вместо того, чтобы просить денег за расшифровку файлов, вымогатели требуют, чтобы их жертвы вступали в ряды ЧВК.

«Официальный вирус для трудоустройства в ЧВК Вагнер», — такая надпись прямо на русском языке красуется в записке с требованием выкупа, размещенной на устройствах жертв. В той же записке присутствуют и некоторые незаконные призывы к действию.

Исследователи Cyble сообщили в своём отчёте, что «группа Вагнер официально не заявляла о своей причастности к этой программе-вымогателю». Следовательно, лица, ответственные за этот конкретный штамм, могут быть кем угодно.

Проанализированный специалистами экземпляр вредоноса Wagner, по-видимому, является разновидностью вымогателя Chaos , который также развился из другого печально известного вымогателя под названием Ryuk.

При запуске программа инициализирует различные переменные, которые определяют её выполнение, а также сканирует список запущенных процессов на наличие одноимённых процессов, чтобы, чтобы предотвратить одновременный запуск нескольких экземпляров шифровальщика.

Затем процесс повышает свои системные полномочия и прописывается в автозагрузку Windows. После чего начинается сам процесс шифрования, который затрагивает исключительно пользовательские папки на системном диске: рабочий стол, загрузки, изображение, музыка, видео, документы, OneDrive, Roaming в AppData и т.д.

Всего Wagner обнаруживает и шифрует около 230 расширений пользовательских файлов. После шифрования все файлы получают расширение «.Wagner».

Данные на остальных дисках, установленных на компьютере, вредонос не шифрует. Хотя и распространяет на них, включая съёмные носители, файл «surprise.exe», представляющей из себя копию основной программы.

Учитывая тот факт, что настоящая ЧВК «Вагнер» не подтвердила своей причастности к вредоносу, а платёжные реквизиты для уплаты выкупа отсутствуют, жертва никак не сможет восстановить свои файлы, даже если очень сильно этого захочет. Исходя из этого, вымогатель вполне справедливо можно классифицировать как вайпер .

Эксперты рекомендуют регулярно делать резервные копии важных данных и хранить их на других устройствах или в защищённых облаках. Так, даже если вредонос и зашифрует ваши данные, подобная атака не сможет никак на вас повлиять.