Аналитики «Лаборатории Касперского» выявили новые характеристики в известном шифровальщике Shade. Оказывается, популярный в России зловред не только шифрует данные, но и обладает функциональностью RAT-троянца. Shade может использовать инструменты удаленного управления, чтобы собирать подробные сведения о платежеспособности жертвы, чтобы с большей степенью вероятности добиться выплаты выкупа.

Сначала Shade сканирует компьютер на наличие банковского ПО в системе; найдя в приложениях строки, связанные с банковским ПО, он ищет подстроки BUH, BUGAL, БУХ, БУГАЛ в имени компьютера и пользователя. Если слежка покажет, что компьютер используется человеком, имеющим доступ к бухгалтерии, зловред не шифрует файлы, а внедряет шпионскую программу Teamspy, которая позволяет делать скриншоты или записывать звук через микрофон, а также скачивать и исполнять файлы и перезагружать компьютер.

Связь шпиона с C&C-сервером осуществляется при помощи TeamViewer 6 — популярной и легальной программы удаленного рабочего стола, весьма часто используемой сотрудниками техподдержки для удаленного управления компьютером. Злоумышленники делают так, чтобы сама программа и ее уведомления были скрыты от пользователя; активность TeamViewer видна только в списке запущенных процессов. Это неудивительно: хакеры часто используют в атаках легальный инструментарий.

Появление множества различных вымогателей и постепенный рост осведомленности о блокерах и шифровальщиках заставляют киберпреступников разрабатывать более результативные ransomware-кампании и дополнять функциональность вымогательского ПО. Уже известно о крипточервях, способных как зашифровывать файлы, так и самостоятельно распространяться, увеличивая площадь атаки и, следовательно, потенциальную прибыль от кампании. В случае с обновленным Shade злоумышленники не гонятся за быстрой прибылью — они применяют сложный долгосрочный подход, который потенциально более эффективен и разрушителен для пользователей. «Использование в случае Shade вредоносной программы, позволяющей управлять системой жертвы, открывает перед киберпреступниками, целенаправленно ищущими финансовую информацию, широкие перспективы обогащения», — подчеркнул Федор Синицын, старший антивирусный аналитик «Лаборатории Касперского».

Продукты «Лаборатории Касперского» детектируют шпиона, внедряемого Shade, как Trojan-Spy.Win32.Teamspy.gl (а также TVSPY, TVRAT, SpY-Agent). Недавно «Лаборатория» совместно с полицией Нидерландов и Intel Security создала ресурс NoMoreRansom, на котором содержатся все доступные дешифраторы, в том числе и для Shade.

Категории: Вредоносные программы, Главное, Хакеры