Ransomware „Shade“ ist auf Tour in Nordamerika

Im ersten Quartal dieses Jahres, Experten von Palo Alto Networks festgestellt 6536 Versuch, Kryptograph Teile in ihrem Client-Basis herunterladen. Etwa ein Drittel der gefährlichen Anfragen kamen aus der US-Computer.

WIndows-Ransomware Schatten, auch bekannt als Troldesh, im Internet angekommen am Ende 2014 - Anfang von 2015. Es erstreckt sich majorly von Spam, und manchmal – mit der Verwendung von Exploit-Packs.

Zur Koordination von Daten, Malware erstellt 256-Bit AES-Schlüssel, und, Speichern Sie sie in der endgültigen Datei, verschlüsselt sie mit RSA-3072 Schlüssel. In jedem Ordner mit verschlüsselten Dateien und auf dem Desktop befindet sich bis zu 10 identische README.txt-Dokumente mit Anweisungen in Englisch und Russisch. Nach der Arbeit ist beendet, Shade löscht alle Kopien von Schattendateien auf allen Datenträgern.

Schatten infizierter Desktop-Hintergrund
Schatten infizierter Desktop-Hintergrund

Während der Zeit seiner Existenz, Der Kryptograf zeigte auch einige andere Fähigkeiten, als betrügerische Klicks auf Werbebanner und Herunterladen zusätzlicher Malware (Pony, Teamspy, Banking-Trojaner).

Kostenloser Decoder für Shade vor langer Zeit erstellt und nein verfügbar auf Kein Lösegeld mehr Website des Projekts, jedoch, Die Praxis sagt, dass Malware-Betreiber immer noch hoffen, mit ihrer Hilfe Tribut von unaufmerksamen Benutzern zu sammeln.

Spam-Nachrichten, die noch für die Aussaat verbreitet werden, hauptsächlich für die russischsprachige Öffentlichkeit, und unter den Opfern ist Russland aufgeführt, Japan, Deutschland, Bürger Frankreichs und der Ukraine. Am Ende von 2016 wurde behoben, das auf Mailing in Australien abzielt.

Laut Palo Alto, zwischen Januar und März 2019 Die Geografie der Malware-Tour hat sich erheblich geändert:

  • USA - 2010 Berufung;
  • Japan- 1677;
  • Indien - 989;
  • Thailand - 723;
  • Kanada - 712;
  • Spanien- 505;
  • Russland - 86;
  • Frankreich - 71;
  • Vereinigtes Königreich- 67;
  • Kasachstan - 21.

Am häufigsten versuchte Shade, Vertreter der IT-Branche hochzuladen, Handels- und Bildungseinrichtungen.

  • IT-Technologie - 5009 Berufung;
  • Handel - 722;
  • Bildung - 720;
  • Telekommunikation - 311;
  • Finanzen - 51;
  • Transport und Logistik - 24;
  • Industrieunternehmen - 32;
  • Professionelle Dienstleistungen (Rechtsberatung) 8;
  • Versorger und Energie - 4;
  • Lokale Verwaltung - 1.

Experten betonen, dass Daten im Kundenstamm des Unternehmens gesammelt wurden, Listen können daher nicht behaupten, die gesamte Aufmerksamkeit auf aktuelle Angriffe zu richten.

Infektionskette von Shade Ransomware
Infektionskette von Shade Ransomware

Insgesamt entfielen Forscher 307 Schattenmuster, die sich in Rahmen einer neuen Kampagne ausbreiten. Analysen zeigten, dass die Erkennungszeichen des Erpressers gleich blieben.

So, Es wurde weiterhin zu den verschlüsselten Dateien hinzugefügt .crypted000007 Erweiterung, das wurde erstmals im April festgestellt 2017 (Im 2015-2016 Schattenautoren haben diesen Anhang oft geändert, aber spätere Experimente hörten auf). Die Meldung mit der Forderung nach einem Buyout wird während des gesamten Vorhandenseins der Malware unverändert auf dem Bildschirm angezeigt, und die Zwiebeldomäne für den Erhalt von Zahlungen hat sich seitdem nicht geändert 2016.

Quelle: https://gbhackers.com

Polina Lisovskaya

Ich arbeite seit Jahren als Marketingleiterin und liebe es, für dich nach interessanten Themen zu suchen

Hinterlasse eine Antwort

Schaltfläche "Zurück zum Anfang"