Shade отправился на гастроли в Северную Америку

В I квартале исследователи из Palo Alto Networks зафиксировали 6536 попыток загрузки шифровальщика.

В I квартале эксперты Palo Alto Networks зафиксировали 6536 попыток загрузки шифровальщика Shade по своей клиентской базе. Около трети опасных запросов исходило с компьютеров в США.

Windows-вымогатель Shade, он же Troldesh, объявился в Интернете в конце 2014 — начале 2015 года. Распространяется он в основном через спам, иногда — с помощью эксплойт-паков.

Для кодирования данных зловред создает 256-битные ключи AES и, сохраняя их в итоговом файле, шифрует ключом RSA-3072. В каждую папку с зашифрованными файлами и на рабочий стол помещается до 10 одинаковых записок README.txt с инструкциями (на русском и английском языках). Закончив работу, Shade удаляет все теневые копии файлов на всех дисках.

За время своего существования шифровальщик также продемонстрировал и другие способности: накрутку кликов по рекламным баннерам, загрузку дополнительного вредоносного ПО (Pony, Teamspy, банковских троянов).

Бесплатный дешифратор для Shade давно создан и доступен на сайте проекта No More Ransom, однако практика показывает, что операторы зловреда все еще надеются с его помощью собрать дань с невнимательных пользователей. Спам-сообщения, до сих пор распространяемые с целью его засева, в основном рассчитаны на русскоязычную аудиторию; среди жертв Shade числятся жители России, Японии, Германии, Франции и Украины. В конце 2016 года была также зафиксирована целевая рассылка в Австралии.

Согласно наблюдениям Palo Alto, в период с января по март подавляющее большинство обращений к веб-ресурсам, отдающим исполняемые файлы Shade, происходило за пределами России и стран бывшего СНГ:

• США — 2010 обращений,
• Япония — 1677,
• Индия — 989,
• Таиланд — 723,
• Канада — 712,
• Испания — 505,
• Россия — 86,
• Франция — 71,
• Великобритания — 67,
• Казахстан — 21.

Чаще прочих Shade пытались загрузить представители IT-индустрии, торговых организаций и образовательных учреждений:

• высокие технологии — 5009 обращений,
• торговля — 722,
• образование — 720,
• телекоммуникации — 311,
• финансы — 51,
• транспорт и логистика — 24,
• промышленное производство — 32,
• профессиональные услуги (юридическая помощь) — 8,
• коммунальные службы и энергетика — 4,
• госструктуры, местная администрация — 1.

Эксперты подчеркивают, что данные были собраны по клиентской базе компании, поэтому их списки Топ-10 не могут претендовать на полноту охвата текущих атак.

Совокупно исследователи насчитали 307 образцов Shade, распространяемых в рамках новой спам-кампании. Анализ показал, что опознавательные знаки вымогателя остались прежними. Так, он до сих пор добавляет к зашифрованным файлам расширение .crypted000007, впервые замеченное в апреле 2017 года (в 2015-16 годах авторы Shade довольно часто изменяли этот довесок, а затем эксперименты прекратились). Сообщение с требованием выкупа выводится на экран в неизменном виде в течение всего времени существования зловреда, а onion-домен для приема платежей не меняется с 2016 года.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

1

Всего голосов: 1

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля