Ransomware “sombra” se encuentra de gira en América del Norte

En el primer trimestre de este año, expertos de Palo Alto Networks, señalaron 6536 los intentos de descarga criptógrafo Compartir en la base de su cliente. Alrededor de un tercio de las solicitudes peligrosos vino de computadoras de Estados Unidos.

Windows-ransomware Sombra, también conocido como Troldesh, llegado en Internet al final de 2014 - comienzo de 2015. Se propaga mayormente de correo no deseado, y aveces – con el uso de paquetes de exploits.

Para la coordinación de datos., el malware crea 256 picaduras Llaves AES, y, guardarlos en el archivo final, los cifra con Clave RSA-3072. En cada carpeta con archivos cifrados y en el escritorio se coloca hasta 10 documentos README.txt idénticos con instrucciones en inglés y ruso. Después de terminar el trabajo, Shade elimina todas las copias de los archivos shadow en todos los discos.

Fondo de escritorio infectado con sombra
Fondo de escritorio infectado con sombra

Durante el tiempo de su existencia, el criptógrafo también demostró algunas otras habilidades, como clics de trampa en banner publicitario y descarga de malware adicional (Poni, Espía del equipo, troyanos bancarios).

Decodificador gratuito para Shade creado hace mucho tiempo y no disponible en No más rescate sitio web del proyecto, sin embargo, la práctica dice que los operadores de malware todavía esperan recaudar tributo de usuarios desatentos con su ayuda.

Mensajes de spam que aún se propagan para su siembra, principalmente dirigido al público de habla rusa, y entre las víctimas figuran Rusia, Japón, Alemania, Ciudadanos de Francia y Ucrania. Al final de 2016 se corrigió el envío de correos a Australia.

De acuerdo con Palo Alto, entre enero y marzo 2019 la geografía del recorrido de malware cambió significativamente:

  • Estados Unidos 2010 apelaciones;
  • Japón- 1677;
  • India - 989;
  • Tailandia - 723;
  • Canadá 712;
  • España- 505;
  • Rusia 86;
  • Francia - 71;
  • Reino Unido- 67;
  • Kazajstán 21.

La mayoría de las veces, Shade intentaba subir representantes de la industria de TI, instituciones comerciales y educativas.

  • Tecnología informática - 5009 apelaciones;
  • Comercio - 722;
  • Educación - 720;
  • Telecomunicaciones - 311;
  • Finanzas - 51;
  • Transporte y logística - 24;
  • Empresas industriales - 32;
  • Servicios profesionales (asistencia legal) 8;
  • Servicios públicos y energía - 4;
  • Administración local - 1.

Los expertos enfatizan que los datos fueron recolectados en la base de clientes de la compañía, por lo que las listas no pueden pretender cubrir el auditorio completo de los ataques actuales.

Cadena de infección de Shans Ransomware
Cadena de infección de Shans Ransomware

En total los investigadores contabilizaron 307 Muestras de sombra que se extienden en marcos de nueva campaña. Los análisis demostraron que las marcas de identificación del extorsionista seguían siendo las mismas.

Asi que, todavía se agrega a los archivos cifrados .crypted000007 extensión, eso se observó por primera vez en abril 2017 (En 2015-2016 Los autores de sombra a menudo cambiaron este archivo adjunto, pero los experimentos posteriores se detuvieron). El mensaje con la demanda de compra se muestra en la pantalla sin cambios durante toda la existencia del malware, y el dominio de cebolla para recibir pagos no ha cambiado desde 2016.

Fuente: https://gbhackers.com

Acerca de Trojan Killer

Trojan Killer llevar portátil en su dispositivo de memoria. Asegúrese de que usted es capaz de ayudar a su PC resistir cualquier amenaza cibernética donde quiera que vaya.

también puedes ver

MageCart en la plataforma de nube Heroku

Los investigadores encontraron Varios MageCart Web skimmers En Heroku Cloud Platform

Investigadores de Malwarebytes informaron sobre la búsqueda de varios skimmers MageCart web en la plataforma de nube Heroku …

Android Spyware CallerSpy

máscaras spyware CallerSpy como una aplicación de chat Android

expertos de Trend Micro descubrieron que el malware CallerSpy, que enmascara como una aplicación de chat y Android, …

Deja una respuesta