勒索软件Sigrun开发者为俄罗斯人免费解密 其他国家一律250

安全研究员Alex Svirid在上周通过Twitter发布消息称，他发现了一种名为“Sigrun”的新型勒索软件，其开发者表示会为俄罗斯受害者免费提供解密服务。这种情况意味着，Sigrun的开发者极有可能是一群俄罗斯黑客。

网络安全公司Malwarebytes的安全研究人员（Twitter昵称为“S！Ri”）随后对这条推文进行了回复，展示了两封由Sigrun开发者分别发送给俄罗斯受害者和美国受害者的电子邮件，以证实Alex Svirid的说法。

从S！Ri展示的屏幕截图来看，Sigrun的开发者的确宣称会为俄罗斯受害者免费提供解密服务，但对于美国受害者而言，他们需要支付价值2500美元的比特币（Bitcoin）或者达世币（Dash）作为赎金。

其实，Sigrun的开发者已经采取了一定的措施来避免感染俄罗斯用户。在Sigrun执行时，它将检查“HKEY_CURRENT_USER Keyboard Layout Preload”以查看它是否设置为俄罗斯键盘布局。如果是，它便不会加密计算机并删除自身文件。然而不幸的是，并不是每一个前苏联国家都延用俄罗斯的键盘布局，因此还是有不少俄罗斯用户会不幸成为受害者。

“由于政治原因，乌克兰用户不使用俄罗斯的键盘布局，因此我们决定帮助他们，如果他们受到感染。”Sigrun的开发者通过电子邮件告诉国外媒体BleepingComputer，“我们已经增加了规避乌克兰键盘布局的机制，就像在Sigrun中的一样。”

如果目标计算机并没有设置为俄罗斯键盘布局，那么Sigrun将扫描计算机中要加密的文件，并跳过与特定扩展名和文件名相匹配的问题以及某些特定文件夹中的文件。将被跳过的文件、文件夹和文件扩展名如下：

ProgramData, IETldCache, Boot, Program Files, Tor Browser, All Users, Local Settings, Windows, desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log, thumbs.db, ntldr, NTDETECT.COM, Bootfont.bin, A:, SQL, .ani , .cab , .cpl , .cur , .diagcab , .diagpkg , .dll , .drv , .hlp , .ldf , .icl , .icns , .ico , .ics , .lnk , .key , .idx , .mod , .mpa , .msc , .msp , .msstyles , .msu , .nomedia , .ocx , .prf , .rom , .rtp , .scr , .shs , .spl , .sys , .theme , .themepack , .exe , .bat , .cmd , .sigrun_key , .sigrun , .admin

加密文件时，它会将.sigrun  扩展名附加到被加密文件的文件名末尾。例如，文件test.jpg在被加密后，文件名将变更为test.jpg.sigrun。

在被加密文件所处的文件夹中，它还将创建两个名为RESTORE-SIGRUN.txt和  RESTORE-SIGRUN.html的赎金 票据，用于向受害者说明发生的情况以及如何支付赎金。