Новый шифровальщик

Jaff Ransomware.

Поглядеть анализ можно тут:



Нет, это не я :)) Хотя занимаюсь тем же самым.

Что самое интересное? Самое интересное, что первым делом, что делает исполняемый файл -- это проверяет наличие поддержки русского языка. Если она есть -- он не запускается. Mwa-ha-ha.

А вы говорите, русских хакеров не существует %)
Tags:
>А вы говорите, русских хакеров не существует %)
дык поди докопайся...

The CIA's Remote Devices Branch's UMBRAGE group collects and maintains a substantial library of attack techniques 'stolen' from malware produced in other states including the Russian Federation.

https://wikileaks.org/ciav7p1/
Attack techniques -- это другое.

ЦРУ не надо для своих целей проверять, говорит ли владелец компьютера по-русски.

А вот российскому киберпреступнику -- нужно. Чтобы не заражать компьютеры в своей стране -- бо чревато.
Проверка поддержки языка может и быть частью attack technique... See also:

The source code shows that Marble has test examples not just in English but also in Chinese, Russian, Korean, Arabic and Farsi. This would permit a forensic attribution double game, for example by pretending that the spoken language of the malware creator was not American English, but Chinese, but then showing attempts to conceal the use of Chinese, drawing forensic investigators even more strongly to the wrong conclusion, --- but there are other possibilities, such as hiding fake error messages.

https://wikileaks.org/ciav7p1/
> Проверка поддержки языка может и быть частью attack technique...

Это ЦРУ, что ли, шифровальщик написало?
>А вы говорите, русских хакеров не существует %)
дык поди докопайся...
Очень просто докопаться. ЦРУ не занимается шифровальщиками, у них другие источники доходов есть. Во-вторых, зачем ЦРУ атаковать американские компьютеры? Это бессмысленно.
Привиденные примеры с викиликс просто показывают возможности ЦРУ. Такие возможности могут быть у кого угодно. Обвинение доказывается только в суде.
Наличие возможностей не свидетельствует ни о чём.

А сама атаки, и именно такая атака -- шифрование важных файлов -- вкупе с проверкой наличия русского языка может привести только к одному выводу.

Нерусские хакеры не стали бы проверять наличие этого языка.
>Нерусские хакеры не стали бы проверять наличие этого языка.
или тот кому надо замаскироваться под них
> или тот кому надо замаскироваться под них

Сова на глобус. Это не троян и не бот. Это шифровальщик -- сделал и помахал ручкой.

Никаких профитов от маскировки под -- нет.

Если у меня установлена русская клавиатура, то он меня не тронет или надо чтобы вся ОС была на русском?

Есть версия, что это связано не с российскими хакерами, а с российскими технологиями терморектального криптоанализа.
Проще всё.

Деньги сподручнее красть у кого-то, кто живёт за пределами твоей страны.