SOS :: Security Operation Space
25 августа, воскресенье, 00:00
|
Hot News:

Shade отправился на гастроли в Северную Америку

24 мая 2019 г., пятница, 15:53

В I квартале исследователи из Palo Alto Networks зафиксировали 6536 попыток загрузки шифровальщика.

В I квартале эксперты Palo Alto Networks зафиксировали 6536 попыток загрузки шифровальщика Shade по своей клиентской базе. Около трети опасных запросов исходило с компьютеров в США.

Windows-вымогатель Shade, он же Troldesh, объявился в Интернете в конце 2014 — начале 2015 года. Распространяется он в основном через спам, иногда — с помощью эксплойт-паков.

Для кодирования данных зловред создает 256-битные ключи AES и, сохраняя их в итоговом файле, шифрует ключом RSA-3072. В каждую папку с зашифрованными файлами и на рабочий стол помещается до 10 одинаковых записок README.txt с инструкциями (на русском и английском языках). Закончив работу, Shade удаляет все теневые копии файлов на всех дисках.

За время своего существования шифровальщик также продемонстрировал и другие способности: накрутку кликов по рекламным баннерам, загрузку дополнительного вредоносного ПО (Pony, Teamspy, банковских троянов).

Бесплатный дешифратор для Shade давно создан и доступен на сайте проекта No More Ransom, однако практика показывает, что операторы зловреда все еще надеются с его помощью собрать дань с невнимательных пользователей. Спам-сообщения, до сих пор распространяемые с целью его засева, в основном рассчитаны на русскоязычную аудиторию; среди жертв Shade числятся жители России, Японии, Германии, Франции и Украины. В конце 2016 года была также зафиксирована целевая рассылка в Австралии.

Согласно наблюдениям Palo Alto, в период с января по март подавляющее большинство обращений к веб-ресурсам, отдающим исполняемые файлы Shade, происходило за пределами России и стран бывшего СНГ:

  • США — 2010 обращений,
  • Япония — 1677,
  • Индия — 989,
  • Таиланд — 723,
  • Канада — 712,
  • Испания — 505,
  • Россия — 86,
  • Франция — 71,
  • Великобритания — 67,
  • Казахстан — 21.

Чаще прочих Shade пытались загрузить представители IT-индустрии, торговых организаций и образовательных учреждений:

  • высокие технологии — 5009 обращений,
  • торговля — 722,
  • образование — 720,
  • телекоммуникации — 311,
  • финансы — 51,
  • транспорт и логистика — 24,
  • промышленное производство — 32,
  • профессиональные услуги (юридическая помощь) — 8,
  • коммунальные службы и энергетика — 4,
  • госструктуры, местная администрация — 1.

Эксперты подчеркивают, что данные были собраны по клиентской базе компании, поэтому их списки Топ-10 не могут претендовать на полноту охвата текущих атак.

Совокупно исследователи насчитали 307 образцов Shade, распространяемых в рамках новой спам-кампании. Анализ показал, что опознавательные знаки вымогателя остались прежними. Так, он до сих пор добавляет к зашифрованным файлам расширение .crypted000007, впервые замеченное в апреле 2017 года (в 2015-16 годах авторы Shade довольно часто изменяли этот довесок, а затем эксперименты прекратились). Сообщение с требованием выкупа выводится на экран в неизменном виде в течение всего времени существования зловреда, а onion-домен для приема платежей не меняется с 2016 года.

Ваш голос учтён!
нравится
не нравится Рейтинг:
1
Всего голосов: 1
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
16:35
16:12
15:03
14:15
13:15
13:15
13:06
12:15
10:15
10:15
08:15
07:15
06:15
06:15
16:32
16:15
15:15
14:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.339
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.