Новый вредонос с отсылкой к Ryuk ищет финансовые и военные документы

На просторах Сети был найден новый образец вредоносной программы, который эксперты связывают со знаменитым вымогателем Ryuk. Зловред ищет и крадет конфиденциальные файлы, принадлежащие компаниям в финансовой, военной и правоохранительной сферах. По словам команды MalwareHunterTeam, обнаруженный семпл ищет важные закрытые файлы, после чего загружает их на FTP-сервер, находящийся под контролем киберпреступников. Известно, что Ryuk не крадет данные, так почему же эксперты связали два вредоноса? Дело в том, что в коде новой вредоносной программы есть отсылки к вымогателю. Подробно о принципе работы обнаруженного недавно образца рассказал специалист в области кибербезопасности Виталий Кремец. После запуска вредонос выполняет рекурсивное сканирование файлов в формате Word (.docx) и Excel (.xlsx). Если а процессе поиска программа натыкается на определённые пути к файлам, она прерывает поиск в этом месте и переходит к следующей директории — этот алгоритм очень похож на работу вымогателя. Вредонос игнорирует папки вроде «Windows», «Intel», «Mozilla», «Public». Помимо этого, пропускаются файлы, связанные с Ryuk: «RyukReadMe.txt» или с расширением «.RYK». Автор нового зловреда, очевидно, охотится за военными секретами, банковскими данными, документами следователей и другой важной информацией.