Shade отправился на гастроли в Северную Америку
В I квартале эксперты Palo Alto Networks зафиксировали 6536 попыток загрузки шифровальщика Shade по своей клиентской базе. Около трети опасных запросов исходило с компьютеров в США.
Windows-вымогатель Shade, он же Troldesh, объявился в Интернете в конце 2014 — начале 2015 года. Распространяется он в основном через спам, иногда — с помощью эксплойт-паков.
Для кодирования данных зловред создает 256-битные ключи AES и, сохраняя их в итоговом файле, шифрует ключом RSA-3072. В каждую папку с зашифрованными файлами и на рабочий стол помещается до 10 одинаковых записок README.txt с инструкциями (на русском и английском языках). Закончив работу, Shade удаляет все теневые копии файлов на всех дисках.
За время своего существования шифровальщик также продемонстрировал и другие способности: накрутку кликов по рекламным баннерам, загрузку дополнительного вредоносного ПО (Pony, Teamspy, банковских троянов).
Бесплатный дешифратор для Shade давно создан и доступен на сайте проекта No More Ransom, однако практика показывает, что операторы зловреда все еще надеются с его помощью собрать дань с невнимательных пользователей. Спам-сообщения, до сих пор распространяемые с целью его засева, в основном рассчитаны на русскоязычную аудиторию; среди жертв Shade числятся жители России, Японии, Германии, Франции и Украины. В конце 2016 года была также зафиксирована целевая рассылка в Австралии.
Согласно наблюдениям Palo Alto, в период с января по март подавляющее большинство обращений к веб-ресурсам, отдающим исполняемые файлы Shade, происходило за пределами России и стран бывшего СНГ:
- США — 2010 обращений;
- Япония — 1677;
- Индия — 989;
- Таиланд — 723;
- Канада — 712;
- Испания — 505;
- Россия — 86;
- Франция — 71;
- Великобритания — 67;
- Казахстан — 21.
Чаще прочих Shade пытались загрузить представители IT-индустрии, торговых организаций и образовательных учреждений:
- высокие технологии — 5009 обращений;
- торговля — 722;
- образование — 720;
- телекоммуникации — 311;
- финансы — 51;
- транспорт и логистика — 24;
- промышленное производство — 32;
- профессиональные услуги (юридическая помощь) — 8;
- коммунальные службы и энергетика — 4;
- госструктуры, местная администрация — 1.
Эксперты подчеркивают, что данные были собраны по клиентской базе компании, поэтому их списки Топ-10 не могут претендовать на полноту охвата текущих атак.
Совокупно исследователи насчитали 307 образцов Shade, распространяемых в рамках новой спам-кампании. Анализ показал, что опознавательные знаки вымогателя остались прежними. Так, он до сих пор добавляет к зашифрованным файлам расширение .crypted000007, впервые замеченное в апреле 2017 года. (В 2015-16 годах авторы Shade довольно часто изменяли этот довесок, а затем эксперименты прекратились.) Сообщение с требованием выкупа выводится на экран в неизменном виде в течение всего времени существования зловреда, а onion-домен для приема платежей не меняется с 2016 года.
Источник: https://threatpost.ru/shade-ransomware-targets-americans/32794/