В январе спам-кампания по распространению вымогателя Shade, также известного под названием Troldesh, возобновилась с новой силой. По сведениям аналитиков из компании ESET, на этот раз она идет через массовую рассылку электронных писем с вредоносными JavaScript-вложениями. Чаще всего с Shade сталкиваются пользователи из России, на которую приходится 52% всех обнаруженных атак. Также жертвами шифровальщика стали пользователи из Японии, Германии, Франции и Украины.

Эксперты считают всплеск вредоносной активности продолжением фишинговой кампании, начавшейся в октябре 2018 года.

Ее организаторы рассылают спам на русском языке и выдают себя за представителей «Бинбанка» и торговой сети «Магнит». Во вложенном архиве якобы содержатся подробности заказа, а в действительности — JavaScript-файл «Информация.js». После запуска он скачивает вредоносный загрузчик с одного из сотен взломанных сайтов на базе WordPress. Доступ к последним злоумышленники получают с помощью ботов для брутфорс-атак.

Загрузчик имеет недействительную цифровую подпись на основе сертификата, якобы выданного Comodo, и маскируется под системный процесс csrss.exe. Также он копирует себя в одноименную папку: C:\ProgramData\Windows\csrss.exe. Именно загрузчик расшифровывает и запускает Shade.

Вымогатель шифрует файлы и добавляет к ним расширение .crypted000007, а затем отображает инструкции по оплате на русском и английском языках.

По словам Брэда Данкана (Brad Duncan), куратора SANS Institute ISC, стать жертвой зловреда могут пользователи Windows, пренебрегающие стандартными мерами безопасности. Однако даже в случае заражения избавиться от Shade и вернуть доступ к файлам можно с помощью дешифратора, размещенного на ресурсе NoMoreRansom. Последний создан силами Европола, полиции Нидерландов и «Лаборатории Касперского» специально для борьбы с программами-вымогателями.

Категории: Вредоносные программы, Спам