В I квартале эксперты Palo Alto Networks зафиксировали 6536 попыток загрузки шифровальщика Shade по своей клиентской базе. Около трети опасных запросов исходило с компьютеров в США.

Windows-вымогатель Shade, он же Troldesh, объявился в Интернете в конце 2014 — начале 2015 года. Распространяется он в основном через спам, иногда — с помощью эксплойт-паков.

Для кодирования данных зловред создает 256-битные ключи AES и, сохраняя их в итоговом файле, шифрует ключом RSA-3072. В каждую папку с зашифрованными файлами и на рабочий стол помещается до 10 одинаковых записок README.txt с инструкциями (на русском и английском языках). Закончив работу, Shade удаляет все теневые копии файлов на всех дисках.

За время своего существования шифровальщик также продемонстрировал и другие способности: накрутку кликов по рекламным баннерам, загрузку дополнительного вредоносного ПО (Pony, Teamspy, банковских троянов).

Бесплатный дешифратор для Shade давно создан и доступен на сайте проекта No More Ransom, однако практика показывает, что операторы зловреда все еще надеются с его помощью собрать дань с невнимательных пользователей. Спам-сообщения, до сих пор распространяемые с целью его засева, в основном рассчитаны на русскоязычную аудиторию; среди жертв Shade числятся жители России, Японии, Германии, Франции и Украины. В конце 2016 года была также зафиксирована целевая рассылка в Австралии.

Согласно наблюдениям Palo Alto, в период с января по март подавляющее большинство обращений к веб-ресурсам, отдающим исполняемые файлы Shade, происходило за пределами России и стран бывшего СНГ:

  • США — 2010 обращений;
  • Япония — 1677;
  • Индия — 989;
  • Таиланд — 723;
  • Канада — 712;
  • Испания — 505;
  • Россия — 86;
  • Франция — 71;
  • Великобритания — 67;
  • Казахстан — 21.

Чаще прочих Shade пытались загрузить представители IT-индустрии, торговых организаций и образовательных учреждений:

  • высокие технологии — 5009 обращений;
  • торговля — 722;
  • образование — 720;
  • телекоммуникации — 311;
  • финансы — 51;
  • транспорт и логистика — 24;
  • промышленное производство — 32;
  • профессиональные услуги (юридическая помощь) — 8;
  • коммунальные службы и энергетика — 4;
  • госструктуры, местная администрация — 1.

Эксперты подчеркивают, что данные были собраны по клиентской базе компании, поэтому их списки Топ-10 не могут претендовать на полноту охвата текущих атак.

Совокупно исследователи насчитали 307 образцов Shade, распространяемых в рамках новой спам-кампании. Анализ показал, что опознавательные знаки вымогателя остались прежними. Так, он до сих пор добавляет к зашифрованным файлам расширение .crypted000007, впервые замеченное в апреле 2017 года. (В 2015-16 годах авторы Shade довольно часто изменяли этот довесок, а затем эксперименты прекратились.) Сообщение с требованием выкупа выводится на экран в неизменном виде в течение всего времени существования зловреда, а onion-домен для приема платежей не меняется с 2016 года.

Категории: Аналитика, Вредоносные программы