Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
В I квартале исследователи из Palo Alto Networks зафиксировали 6536 попыток загрузки шифровальщика.
В I квартале эксперты Palo Alto Networks зафиксировали 6536 попыток загрузки шифровальщика Shade по своей клиентской базе. Около трети опасных запросов исходило с компьютеров в США.
Windows-вымогатель Shade, он же Troldesh, объявился в Интернете в конце 2014 — начале 2015 года. Распространяется он в основном через спам, иногда — с помощью эксплойт-паков.
Для кодирования данных зловред создает 256-битные ключи AES и, сохраняя их в итоговом файле, шифрует ключом RSA-3072. В каждую папку с зашифрованными файлами и на рабочий стол помещается до 10 одинаковых записок README.txt с инструкциями (на русском и английском языках). Закончив работу, Shade удаляет все теневые копии файлов на всех дисках.
За время своего существования шифровальщик также продемонстрировал и другие способности: накрутку кликов по рекламным баннерам, загрузку дополнительного вредоносного ПО (Pony, Teamspy, банковских троянов).
Бесплатный дешифратор для Shade давно создан и доступен на сайте проекта No More Ransom, однако практика показывает, что операторы зловреда все еще надеются с его помощью собрать дань с невнимательных пользователей. Спам-сообщения, до сих пор распространяемые с целью его засева, в основном рассчитаны на русскоязычную аудиторию; среди жертв Shade числятся жители России, Японии, Германии, Франции и Украины. В конце 2016 года была также зафиксирована целевая рассылка в Австралии.
Согласно наблюдениям Palo Alto, в период с января по март подавляющее большинство обращений к веб-ресурсам, отдающим исполняемые файлы Shade, происходило за пределами России и стран бывшего СНГ:
Чаще прочих Shade пытались загрузить представители IT-индустрии, торговых организаций и образовательных учреждений:
Эксперты подчеркивают, что данные были собраны по клиентской базе компании, поэтому их списки Топ-10 не могут претендовать на полноту охвата текущих атак.
Совокупно исследователи насчитали 307 образцов Shade, распространяемых в рамках новой спам-кампании. Анализ показал, что опознавательные знаки вымогателя остались прежними. Так, он до сих пор добавляет к зашифрованным файлам расширение .crypted000007, впервые замеченное в апреле 2017 года (в 2015-16 годах авторы Shade довольно часто изменяли этот довесок, а затем эксперименты прекратились). Сообщение с требованием выкупа выводится на экран в неизменном виде в течение всего времени существования зловреда, а onion-домен для приема платежей не меняется с 2016 года.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |