Троянец Shade не только опасен сам, но и загружает в систему жертвы ряд других вредоносных программ, предупреждает «Лаборатория Касперского».

По словам аналитиков, это один из наиболее часто встречающихся сегодня в России троянцев-шифровальщиков. Как объясняют эксперты, Shade попадает на компьютер жертвы через спам-рассылки или с помощью эксплойтов.

Пользователь получает письмо с вредоносным вложением, попытка открыть которое приводит к заражению системы. Имя файла меняется с каждой новой волной рассылки.

Или вредоносный код появляется в системе после посещения жертвой скомпрометированного веб-сайта. Этот способ распространения более опасен, поскольку заражение происходит без участия пользователя, когда жертва посещает скомпрометированный веб-сайт. Это может быть как сайт злоумышленников, так и вполне легальный, но взломанный ресурс. Вредоносный код на сайте эксплуатирует уязвимость в браузере или его плагинах, после чего в скрытном режиме в систему устанавливается целевой троянец. В этом случае, в отличие от спам-письма, от жертвы даже не требуется запускать исполняемый файл.

После попадания на компьютер жертвы Shade начинает шифровать файлы и добавлять к ним расширения .xtbl и .ytbl. Когда шифрование завершено, на рабочий стол устанавливается устрашающая картинка с текстом, сообщающим о недоступности для пользователя информации на устройстве. А требования выкупа зловред оставляет в файлах README1.txt… README10.txt.

Однако, в отличие от большинства других шифровальщиков, на этом Trojan-Ransom.Win32.Shade не останавливается. Shade скачивает и устанавливает в систему пользователя другие вредоносные программы нескольких различных семейств, например программу подбора паролей к веб-сайтам. Еще одно вредоносное ПО, загружаемое шифровальщиком, известно как Trojan-Downloader.Win32.Zemot — этот зловред, в свою очередь, может устанавливать на компьютер жертвы известный банковский троянец ZeuS, подчеркивают аналитики.

В случае обнаружения шифровальщика Shade (либо результатов его работы — файлов с расширениями .xtbl, .ytbl) специалисты настоятельно рекомендуют провести полную антивирусную проверку компьютера. В противном случае система с большой долей вероятности останется заражена вредоносными программами, закачанными троянцем.

Категории: Аналитика, Вредоносные программы, Главное, Спам