На просторах интернета специалисты ESET и «Лаборатории Касперского» обнаружили стремительно распространяющийся новый шифровальщик Shade. Основной способ его распространения – фишинговые письма, в теле которого указывается ссылка на тело вируса. Высокая скорость распространения шифровальщика говорит о знании злоумышленниками методов социальной инженерии.
В большинстве присланные письма выглядят вполне естественно и безобидно. Обычно они адресованы от представителей рекламных служб известных брендов. В теле письма содержится всего несколько строк, вроде «Посмотрите наши сегодняшние скидки» либо «Ваш заказ сформирован. Посмотрите детали». Рядом приводится ссылка, которая выглядит вполне естественно, напоминая распространенные сервисы хранилищ облачных документов. В некоторых случаях присутствует вложенный файл либо архив.
Специалист такое поддельное письмо распознает с первого раза – у него отличается домен и личные данные в подписи и адресе, однако обычный человек часто нажимает на приведенную ссылку. Для повышения доверия к сообщению злоумышленники часто в письмо включают строку, что сообщение проверено известным антивирусом и безопасно.
При переходе по ссылке на компьютер жертвы скачивается троян и начинает работу. Несколько другая ситуация обстоит с вложенным файлом, в большинстве случаев там содержится документ (pdf либо docx), содержимое которое схоже с документами, открывающимися на облачных сервисах. При попытке вывести его содержимое на экран происходит скачивание и запуск вируса на компьютере.
Специалисты ESET отмечают, что иногда во вложении встречается архив, в котором находится файл «Информация.js» при запуске которого в память компьютера скачивается вредоносный загрузчик, распознаваемый антивирусными сканерами как Win32/Injector. И уже сам загрузчик загружает вымогателя Shade.
По некоторым данным вымогатель в некоторых случаях не шифрует данные, а устанавливает на компьютер компоненты удаленного доступа. Наиболее часто такие компоненты устанавливались при наличии на атакуемом компьютере программы 1C и аналогичных. Но обычно большинство файлов просто шифруется и на экран выдается сообщение, что для расшифровки информации необходимо заплатить определенный выкуп.
Аналитики ESET отмечают, что более половины атак (52%) Shade осуществил на территории России. Также оказались поражены пользователи Германии, Украины, Японии.